Tate
お問い合わせ 資料請求
Column

DNSフィルタリングとドメインフィルタリングの違い — 名前を「どの層で」見るか

ネットワークの基礎 #DNSフィルタリング#ドメインフィルタリング#Webフィルタリング

Webフィルタリング製品を比較していると、「DNSフィルタリング」と「ドメインフィルタリング(URLフィルタリング・Webフィルタリング)」という似た言葉に出会います。どちらも「ドメイン名を見て、通信の良し悪しを決める」仕組みです。では何が違うのか——答えは、名前をどの層(タイミング)で見るかです。この違いを押さえると、製品の得意・不得意と、なぜ併用が語られるのかが整理できます。

前提 — 通信は「名前解決」と「接続」の2段階

PCやサーバが example.com に接続するとき、内部では2つの段階を踏みます。

  1. 名前解決(DNS) — 「example.com の IPアドレスは何か?」をDNSサーバに問い合わせる
  2. 接続 — 得られたIPアドレスへ実際にTCP/TLS接続を張る

DNSフィルタリングは1の段階で、ドメインフィルタリングは2の段階で名前を見ます。同じ「ドメイン名による制御」でも、介入するポイントがまったく違うのです。

DNSフィルタリング — 名前解決の段階で止める

DNSフィルタリングは、組織のDNSサーバ(またはフィルタリング機能付きの外部リゾルバ)が、問い合わせられたドメイン名を評価し、好ましくない宛先には正しいIPアドレスを返さない仕組みです。名前が引けなければ、その後の接続は始まりません。

長所は導入のしやすさです。DNSサーバの参照先を変えるだけで組織全体に効かせやすく、プロトコルを問わず(Webに限らず)名前解決を経由する通信に広く作用します。通信経路に機器を挟む必要もありません。

一方で、構造的な限界が2つあります。

  • DNSを通らない通信には効かない — 名前解決を経ずにIPアドレスへ直接接続する通信は、そもそもDNSフィルタの前を通りません。また、DoH(DNS over HTTPS)のような暗号化DNSを使われると、組織のDNSサーバを迂回して名前解決が行われ、フィルタが素通りされます(詳しくはDoHとQUICが可視性に与える影響
  • 「解決させない」ことしかできない — 一度どこかで解決済みのIPや、キャッシュされた結果を使った接続は止められません

つまりDNSフィルタは「名前解決という協力的な手続きに介入する」仕組みであり、その手続きを踏まない通信が死角になります。

ドメインフィルタリング(SNI/Host) — 実際の接続の段階で見る

ドメインフィルタリングは、通信経路上の機器(ファイアウォールやプロキシ)が、実際に張られようとしている接続そのものからドメイン名を読み取って判定する仕組みです。HTTPS なら TLS ハンドシェイクの SNI(接続先ホスト名の平文フィールド)、HTTP なら Host ヘッダを見ます(仕組みの詳細はSNIによるドメイン制御とECH)。

長所は、名前解決をどう行ったかに関係なく効くことです。DoHで名前を引いても、IP直打ちを試みても、HTTPS接続を確立するにはSNIにホスト名を載せるのが通常であり、接続の現場で判定できます。「実際に通ろうとした通信」を見るため、ログも事実に基づきます。

限界もあります。経路上に機器を置く(またはプロキシを経由させる)必要があり、導入の手間はDNSフィルタより大きくなります。また、SNIを暗号化するECHが将来普及すれば可視性が下がりうること、SNI自体を偽装する手口が存在することは正直に押さえておくべき点です。

両者は排他ではなく補完

「どちらが優れているか」ではなく、死角の位置が違うと捉えるのが正確です。

観点DNSフィルタリングドメインフィルタリング(SNI/Host)
見る場所名前解決の問い合わせ実際の接続(TLS/HTTP)
導入DNS設定の変更で広く適用しやすい経路上への機器設置・プロキシ経由が必要
DoHによる迂回迂回される影響を受けない(接続自体を見るため)
IP直接接続見えないSNI/Hostがあれば判定可、なければドメイン判定不可
Web以外のプロトコル名前解決を使う通信に広く作用検査対象はSNI/Hostを持つ通信が中心
将来の懸念暗号化DNSの普及ECH(SNI暗号化)の普及

DNSフィルタは「広く・手軽に」、ドメインフィルタは「確実に・接続の現場で」。前者の迂回(DoH・IP直結)を後者が受け止め、後者が見ないプロトコルを前者が広くカバーする——という補完関係です。

選ぶときの判断軸

  • 何を守りたい回線か — 一般オフィスの大まかなWeb利用制限ならDNSフィルタの手軽さが活きます。情報持ち出しやマルウェア通信のような「迂回を試みる相手」を想定するなら、接続の現場で見るドメインフィルタが土台になります
  • 迂回への耐性をどこまで求めるか — DoHや直接IP接続まで考慮するなら、DNSフィルタ単独では不足します
  • 導入の制約 — 経路に機器を置けるか、DNS設定を統制できるか、という環境側の条件も現実的な判断材料です

まとめ

  • DNSフィルタとドメインフィルタは、どちらも「名前で判定」するが、見る層が違う(名前解決 vs 実際の接続)
  • DNSフィルタは導入が手軽で広く効くが、DoHによる迂回・IP直接接続が死角になる
  • ドメインフィルタ(SNI/Host)は接続そのものを見るため迂回に強いが、経路上への設置が必要で、ECHの普及が将来の懸念
  • 両者は排他ではなく補完関係。守りたい回線の性格と、想定する相手(協力的な利用者か、迂回を試みる相手か)で組み合わせを決める

Tate(盾)は、回線に挟むだけで接続の段階のドメイン制御(SNI/Host検査)を追加するアプライアンスです。仕組みの詳細は製品・アーキテクチャをご覧ください。

AIエージェントの外向き通信、見えていますか。

Tate(盾)は、回線に挟むだけで導入できる L2透過型ファイアウォール・アプライアンスです。現在、先行案内・お問い合わせを受け付けています。

資料請求・お問い合わせ AIガードレールを見る