Tate
お問い合わせ 資料請求
Column

DoHとQUICで何が見えにくくなる?社内ネットワーク可視性の基礎

ネットワークの基礎 #DoH#QUIC#可視性#DNS

「DNSのログを取っているのに、最近どうも記録に残らない通信がある」「QUICという通信が増えたが、既存の仕組みで見えているのか分からない」——社内ネットワークの可視性を担当していると、ここ数年で必ずぶつかるのが DoH と QUIC です。この記事では、この2つが「何を見えにくくするのか」を整理します。

社内の可視性は「2つの見える部分」に支えられてきた

多くの企業ネットワークの可視性・フィルタリングは、暗号化通信の中でも例外的に「見える部分」に支えられてきました。

  • DNS(名前解決) — どのホストがどのドメイン名を引いたかが平文で流れる。DNSログ・DNSフィルタの土台
  • TLSのSNI — HTTPS接続の冒頭で、どのサーバ名に接続したいかが見える。ドメイン単位のフィルタの土台

通信の中身(ペイロード)は暗号化されていても、「どこへつなごうとしているか」はこの2点で把握できる——これが従来の前提でした(詳しくは TLSを復号しないフィルタリング で解説しています)。DoH と QUIC は、それぞれこの前提を揺らします。

DoH — 名前解決がHTTPSの中に隠れる

DoH(DNS over HTTPS)は、DNSの問い合わせを通常のHTTPS通信の中に包んで運ぶ仕組みです。ブラウザやOSが対応しており、利用者のプライバシー保護(経路上の盗み見や改ざんへの対策)として設計された、正当な技術です。

ただし企業ネットワークの管理側から見ると、影響は小さくありません。

  • DNSの問い合わせが社内のDNSサーバを経由しなくなるため、DNSログに残らない
  • DNSの応答を使ったフィルタリング(危険ドメインの名前解決を止める方式)が効かなくなる
  • 外形上は「あるHTTPSサーバへの通信」にしか見えず、それが名前解決だと区別しにくい

つまり DoH は通信を「隠す」というより、可視性の置き場所を変えてしまう技術です。社内のDNS基盤で見えていたものが、見えない経路へ移ります。

QUIC — UDP上の新しいHTTPS

QUIC は、従来 TCP の上で動いていた HTTPS を UDP の上で動かす新しいトランスポートです。接続確立が速く、モバイル環境に強いなど、利用者にとっての利点がはっきりした技術で、主要ブラウザと大手サービスの間では既に広く使われています。

管理側の課題は、既存の検査・制御の仕組みが TCP の HTTPS を前提に作られてきたことです。環境によっては、

  • UDP/443 の通信を「HTTPSである」と認識できず、分類が粗くなる
  • TCP前提のドメイン制御・ログ取得が QUIC の通信に追いつかない

といった形で、同じ宛先への通信でも QUIC 経由だと粒度の粗い記録しか残らない、ということが起こります。

企業ネットワークでの現実解

DoH も QUIC も正当な技術ですから、「使わせない」こと自体が目的ではありません。よく知られている現実解は、可視性を維持できる経路に通信を寄せる運用です。

対象よく知られた運用結果
DoH公開DoHリゾルバ宛の通信を制御し、名前解決を社内DNSへ寄せるDNSログ・フィルタが機能し続ける
QUICUDP/443 を遮断する多くの実装は従来の TCP の HTTPS へ自動フォールバックし、既存の検査・記録が機能する

QUIC の遮断がフォールバックを前提に成立するのは、Webの仕組みとして「QUICがだめならTCPで」という後退経路が用意されているためです。利用者から見ると体感の差はわずかで、管理側は可視性を保てる——という落とし所として、企業ネットワークで広く知られています。

正直な注意点 — 万能ではない

  • DoH リゾルバの制御は既知のリゾルバが対象です。未知のリゾルバや、名前解決を伴わない接続(IP直指定など)まで漏れなく捕捉できるわけではありません
  • 将来的には ECH(SNIの暗号化)など、可視性をさらに変える技術の普及も見込まれます(SNIによるドメイン制御とECH 参照)
  • そして大前提として、DoH・QUIC は利用者保護のための正当な技術です。社内で制御する場合も「なぜ社内ではこの経路に寄せるのか」を、プライバシーと統制のバランスの問題として説明できる状態にしておくことが、運用の納得感につながります

まとめ

  • 社内の可視性は DNS と TLS SNI という「見える部分」に支えられてきた
  • DoH は名前解決をHTTPSに包み、DNSログ・DNSフィルタの前提を崩す
  • QUIC は UDP 上のHTTPSで、TCP前提の検査・記録が追いつかない環境がある
  • 現実解は「DoHリゾルバの制御」と「QUIC遮断→TCPへのフォールバック」で、可視性を保てる経路へ寄せること
  • いずれも正当な技術であり、「悪い通信」扱いではなく統制とのバランスとして設計する

Tate(盾)も、ドメイン単位の可視化・制御の前提を保つために DoH リゾルバと QUIC を扱う設計を採っています。可視化の仕組みは 可視化・AI解析 をご覧ください。

AIエージェントの外向き通信、見えていますか。

Tate(盾)は、回線に挟むだけで導入できる L2透過型ファイアウォール・アプライアンスです。現在、先行案内・お問い合わせを受け付けています。

資料請求・お問い合わせ AIガードレールを見る