DNS over TLS（DoT）とDNS over HTTPS（DoH）の違いは何ですか？

主な違いは、使用するポートとトラフィックの識別のしやすさにあります。DoTは専用のポート853を使用するため、ネットワーク管理者やファイアウォールが識別してブロックすることが比較的容易です。一方、DoHはポート443を使用し、通常のHTTPSウェブトラフィックとDNSクエリを混在させるため、ブロックが困難です。どちらも暗号化によってDNSクエリを保護しますが、ネットワーク環境や求めるプライバシーレベルによって適切な選択肢が異なります。

VPNを使用している場合、DoTは必要ですか？

多くの場合、VPNは正しく設定されていればDNSクエリを含む全トラフィックを暗号化します。しかし、VPNクライアントの設定に不備があると、DNSリークが発生し、暗号化されたトンネルをバイパスしてDNSクエリが平文で送信される可能性があります。DoTはそのようなリークに対する追加の保護レイヤーとして機能します。また、VPNを常時使用しない場面では、DoTが独立したDNSプライバシー保護として役立ちます。

DoTを有効にするにはどうすればよいですか？

有効化の方法はデバイスや環境によって異なります。Android 9以降では、設定の「プライベートDNS」オプションからDoTに対応したリゾルバー（例：1.1.1.1や8.8.8.8）を指定することで利用できます。ホームネットワークでは、ルーターのDNS設定をDoT対応のリゾルバーに変更することで、ネットワーク全体に適用できます。一部のサードパーティ製DNSアプリやVPNクライアントもDoTの設定をサポートしています。

DoTはすべてのインターネットトラフィックを保護しますか？

いいえ、DoTが保護するのはDNSクエリのみです。ウェブサイトへの実際の接続や送受信されるデータを保護するには、HTTPSやVPNが別途必要です。DoTはインターネットセキュリティの重要な一要素ですが、単独での使用では完全なプライバシー保護は実現できません。最大限の保護を得るためには、DoTをHTTPSおよびVPNと組み合わせて使用することが推奨されます。

DNS over TLS (DoT)

DNS over TLS（DoT）：ドメイン照会のプライバシーを守る

ブラウザにウェブサイトのアドレスを入力するたびに、あなたのデバイスはDNSクエリを送信します。これは本質的に、「このドメインのIPアドレスは何ですか？」とサーバーに問い合わせる行為です。従来、これらのクエリはインターネット上を平文で送信されるため、インターネットプロバイダー、ネットワーク管理者、または接続を監視している第三者が、あなたがアクセスしようとしているウェブサイトを正確に把握できる状態にありました。DNS over TLS（一般的にDoTと略されます）は、この問題を解決するために設計されました。

DoTとは何か

DNS over TLSは、DNSクエリをTLS（Transport Layer Security）暗号化接続でラップするネットワークプロトコルです。これは、オンラインバンキングサイトやメールのログインを保護するために使われているものと同じ技術です。「このウェブサイトはどこにありますか？」というリクエストを公開された状態で送信する代わりに、DoTはデバイスを離れる前にそれらを暗号化します。2016年にRFC 7858として正式に標準化され、その後Cloudflare（1.1.1.1）やGoogle（8.8.8.8）をはじめとする主要なDNSリゾルバーに採用されています。

仕組み

通常、DNSトラフィックはポート53を介してUDPまたはTCPで送受信され、暗号化は行われません。DoTはこれを変え、ポート853を介した専用のTLS接続を確立します。基本的な流れは以下のとおりです。

デバイス（またはDNSリゾルバー）がDNSサーバーとのTLSハンドシェイクを開始し、デジタル証明書を使用してサーバーのIDを確認します。
暗号化されたトンネルが確立されると、DNSクエリがそのトンネルを通じて送信され、外部の第三者からは完全に隠された状態になります。
DNSサーバーがリクエストを処理し、同じ暗号化チャネルを通じてレスポンスを返します。
デバイスは返されたIPアドレスを使用してウェブサイトに接続します。

DoTは専用ポート（853）で動作するため、ネットワーク管理者やファイアウォールはDoTトラフィックを容易に識別でき、必要に応じてブロックすることも可能です。これが、近縁プロトコルであるDNS over HTTPS（DoH）との重要な違いの一つです。DoHはポート443上で通常のウェブトラフィックとDNSトラフィックを混在させるため、ブロックがより困難です。

VPNユーザーにとっての重要性

すでにVPNを使用している場合、DoTを気にする必要はあるのか疑問に思うかもしれません。もっともな疑問です。VPNは、正しく設定されていれば、DNSクエリを含むすべてのトラフィックを暗号化します。ただし、いくつかの重要な点があります。

DNSリーク：VPNクライアントが適切に設定されていない場合、DNSリクエストが暗号化されたVPNトンネルをバイパスし、ISPのリゾルバーへ平文で直接送信されることがあります。DNSリークは、保護されていると思っている状況でもブラウジングの行動を露出させる可能性があります。DoTはこれを防ぐための追加の暗号化レイヤーを提供します。
VPNを使用しない環境：常にVPNを使用しているわけではない方もいます。オープンなWi-Fiネットワーク、職場、またはモバイルデータ通信を使用している場合、DoTはVPNとは独立してDNSクエリを保護します。
ISPによる監視とスロットリング：DNSが暗号化されていない場合、ISPはあなたが訪問するすべてのドメインを記録し、そのメタデータを販売したり、特定のサービスに対してスロットリングを適用したりする可能性があります。DoTはこれらのクエリの読み取りを防ぎます。

実際の使用例

ホームネットワークのセキュリティ：ルーターまたはローカルDNSリゾルバーをDoTを使用するように設定し（CloudflareやQuad9などのプライバシー重視のリゾルバーを指定）、ネットワーク上のすべてのデバイスが各デバイスに追加のインストールを行うことなく暗号化されたDNS照会の恩恵を受けられるようにします。

モバイルのプライバシー：Android 9以降にはDoTをネイティブにサポートする「プライベートDNS」機能が内蔵されており、設定から有効にするだけで、サードパーティ製アプリを使わずにすべてのDNSクエリを暗号化されたリゾルバーを通じて送信できます。

企業ネットワーク：ITチームはDoTを使用して、ネットワーク上の従業員や攻撃者が内部DNSクエリを傍受することを防ぎ、DNSスプーフィングや中間者攻撃のリスクを軽減します。

ジャーナリストや活動家：インターネットの監視が厳しい地域では、DNSクエリを暗号化することで、監視システムがDNSトラフィックだけを基にオンライン行動のプロファイルを構築することをより困難にする、意味のあるプライバシー保護の層が加わります。

DoT単体では完全なプライバシーソリューションではありません。実際のウェブトラフィックを完全に保護するには、HTTPSまたはVPNが引き続き必要です。しかし、日常的なインターネットセキュリティにおいてしばしば見落とされているギャップを埋める役割を果たします。

DNS over TLS (DoT)中級

DNS over TLS（DoT）：ドメイン照会のプライバシーを守る

DoTとは何か

仕組み

VPNユーザーにとっての重要性

実際の使用例

// FAQ