Contact Us
ヘッド バナー

ドメイン ネーム システム (DNS) セキュリティ

DNS セキュリティ アイコン

組織のホストにあるドメイン ネーム システム (DNS) サーバーは固有のセキュリティを持たないため、悪意のあるマルウェアをインストールされる侵害が繰り返し行われており、キャッシュ ポイズニング (正しくない/偽りのデータをネーム サーバのキャッシュに注入し、それをユーザに使用させる)、通話のリダイレクト、仲介者による攻撃などにより、パスワードの窃盗、電子メールの迂回、サービス拒否攻撃などを行います。

ドメイン ネーム システム セキュリティ拡張 (DNSSEC) は、受け取ったメッセージが送信されたものと同じであることを確認するために DNS レコードをデジタル署名して、DNS サーバの階層構造を保護します。

DNSSEC を配置すると、組織は以下が可能になります:

  • セキュリティの強化。DNS セキュリティは、キャッシュ ポイズニング、通話のりダイレクト、仲介者による攻撃などの防備に役立ちます。

  • コンプライアンスの確保。DNSSEC は ICANN、NSEC、その他の指令やガイドラインへの対応に役立ちます。

  • コストの削減。ネットワーク ベースのさまざまな脅威から守ることにより、組織は攻撃の低減や攻撃後の損害検証および回復に関連する時間とコストを削減できます。


強固なセキュリティがないと、DNS セキュリティは侵害される可能性がある

緑の暗号鍵アイコン

DNSSEC 基本的に公開鍵インフラストラクチャ (PKI) を導入して、DNS サーバ間にセキュアな通信方式を提供します。PKI として、DNSSEC は鍵生成、署名、および鍵管理などのいくつかの新しい手順を必要とします。しかし、DNSSEC の考えられるすべての利点に対して、意図した利益は保証されません。これは、DNSSEC によって導入されるリソース レコードが非暗号化ファイルに保持されているためです。

DNSSEC インフラストラクチャ全体が完全かつ包括的に組織の安全を確保した場合にのみ、DNSSEC の利点を完全に享受できるようになります。これを行うには、以下を行う機能が必要です:

  • 安全なデジタル署名。DNS サービスの有効性を確保するために、DNS メッセージはデジタル署名される必要があります。

  • アクセスのコントロール。組織は、承認された顧客と内部スタッフのみが機密アプリケーションやデータにアクセスできるようにする必要があります。

  • アプリケーション完全性の維持。関連する全てのアプリケーション コードとプロセスは、完全性を確保し、不正なアプリケーションの実行を禁じるために、保護する必要があります。

  • 大量処理の収容に対応。DNS のアップデートは非常に頻繁なため、DNSSEC インフラストラクチャは常にタイムリーな処理を可能にするパフォーマンスと拡張性を供給する必要があります。

View HSM を使用する DNSSEC リソースライブラリ

ハードウェア セキュリティ モジュールによる DNS セキュリティ

ハードウェア セキュリティ モジュール アイコン

DNS サービスの有効性を確保するため、DNSSEC は公開鍵暗号化を使用して DNS メッセージをデジタル署名します。要求されるセキュリティを実現するため、秘密署名鍵の強固なプロテクションが不可欠です。鍵とその対応するデジタル証明書が侵害されると、DNS 階層構造の信頼の連鎖が破られ、システム全体が陳腐化します。ここでは、ハードウェア セキュリティ モジュール (HSM) が効果を発揮します。

HSM は、デジタル署名の中心となる暗号鍵と暗号化処理の安全を物理的および論理的に確保する専用システムです。HSM は次の機能をサポートします:

  • ライフサイクル管理。これには鍵生成、配布、ローテーション、保管、終了、およびアーカイブが含まれます。

  • 暗号化処理。これは、アプリケーション サーバから暗号化処理を隔離し取り外す二重の利点を生み出します。

暗号鍵を一元管理の強化されたデバイスに保管することにより、HSM はバラバラで安全確保が不十分なプラットフォームに収容された資産に関連するリスクを排除することができます。また、この一元管理により、セキュリティ管理を大幅に簡素化することができます。

SafeNet HSM による DNS セキュリティ図


[図] 機能のしくみ:SafeNet HSM による DNS セキュリティ

DNSSEC 向け SafeNet HSM:

  • DNSSEC アンカー信頼システムをサポート

  • DNS 階層構造-ZSK および KSK のルートおよび全体の鍵セキュリティ

  • パワフルな暗号化エンジンが DNS サーバから暗号化の負担を除去

  • 広範囲の HSM が複数の DNSSEC 要件に適合

  • PKCS#11、Java、MS CAPI を含む標準 API

  • FIPS 検証モデルと共通基準認定モデルを使用可能

  • OpenDNSSEC、BIND 9.7、FreeBSD
    などの主要 DNS プラットフォームに統合

HSM プロダクト情報の表示 詳しい情報を要求する

View 購入方法 リソースライブラリ

お問合せにはこちらのフォームをお使いください

日本
電話番号:03-5776-2751
こちらのフォームをご記入ください
ヨーロッパ
電話番号:44-01276-608000
こちらのフォームをご記入ください
アジア本社
電話番号:852-3157-7111
こちらのフォームをご記入ください

アメリカ
電話番号:866-251-4269
こちらのフォームをご記入ください

オフィスロケーション
パートナーを指定
オーダーに関するお問い合わせ
View 概要 リソースライブラリ
DNS Hierarchy
CTA HSM Critical Risk Mgmt WP