IT用語集 2022/05/05

DNSとは？役割・仕組み・機能をわかりやすく解説

はじめに

DNSやDNSサーバーという言葉を目にしたことはあっても、その意味や仕組みをきちんと説明できる人は多くないかもしれません。しかしDNSは、インターネットやイントラネットを利用するうえで欠かせない基盤です。本記事では、DNSとは何か、どのように名前解決が行われるのかを、基本から整理して解説します。

業務の現場では、DNSは「普段は意識しないが、止まると業務が止まる」タイプの仕組みです。Web閲覧やメールだけでなく、クラウドへのログイン、社内システム間連携、端末管理、ソフトウェア更新など、さまざまな通信が名前解決を前提に動いています。そのため、DNSの理解は単なる用語知識ではなく、障害対応や運用設計の前提知識にもなります。

また、DNSは攻撃者に悪用されやすい入口にもなり得ます。名前解決を誤誘導されれば、正規のアクセスであっても偽サイトへ導かれる可能性があるためです。後半では、代表的な攻撃手法と、実務で優先して押さえたい運用上の注意点も整理します。

さらに本記事では、用語を覚えるだけで終わらせず、「繋がらないときにDNSかどうか」を見極める切り分けの手順や、社内DNSの基本設計で迷いやすい論点も扱います。DNSは地味に見えても、安定運用のための判断ポイントが複数あります。仕組みと運用をセットで理解することが、DNSを“使える知識”にする近道です。

DNSとは

DNSとは、IPアドレスとドメイン名を対応付けて管理する仕組み（システム）です。DNSは「Domain Name System」の略称です。

DNSは、インターネットやイントラネットなどのIPネットワークを利用するときに不可欠な仕組みです。DNSは1980年代前半に登場し、初期の仕様（RFC 882／RFC 883 など）を経て、現在の基本となる標準仕様はRFC 1034／RFC 1035（1987年）で整理されています。現在まで基本設計の考え方は大きく変わらず、インターネットの重要な仕組みとして利用され続けています。

実務上は、DNSは「名前解決を提供するサービス」として扱われます。つまり、利用者（端末やアプリケーション）がドメイン名を指定して通信したいときに、接続先のIPアドレス等を返す役割を担います。この前提が崩れると、通信相手が特定できず、アプリケーション側の設定やネットワーク自体が正しくても、サービスが利用できない状態に陥り得ます。

DNSは分散・階層構造を採用し、インターネット全体で単一点に依存しない設計になっています。一方で、企業ネットワーク内ではキャッシュDNSサーバーやフォワーダーを集約する設計が一般的であり、そこが障害点になることもあります。以降の章では、用語の整理だけでなく、構成要素や名前解決の流れを「運用の観点」でも押さえます。

加えて、DNSは通信としては比較的シンプルで、通常はポート番号53を使用し、主にUDPで問い合わせと応答を行います。ただし、応答が大きくなりUDPで収まりにくい場合や、ゾーン転送のように信頼性が求められる処理ではTCPが使われることがあります。また、UDPで応答しきれない場合にTCPで再試行されるケースもあります。ネットワーク境界でDNS通信を制御している環境では、UDPだけを許可しているつもりでも一部の名前解決だけ失敗する、といった形で影響が現れることがあるため、DNSを「サービス」として見るだけでなく「通信」としての前提も押さえておくと切り分けがしやすくなります。

なお、端末やブラウザが表示するエラー文言は、DNS起因の障害の入口になることがあります。たとえば「名前が見つからない」系は“その名前が存在しない”方向を疑いやすく、「DNSサーバーが応答していません」系は“応答が返らない（到達できない）”方向を疑いやすい、といった具合です。後段の切り分け章では、こうした“結果の見え方”で分岐する考え方も整理します。

IPアドレスとドメイン名

DNSを理解するには、IPアドレスとドメイン名の関係を押さえておく必要があります。

IPアドレスは、IPネットワークに接続されているコンピューターやスマートフォンなどの機器の所在を識別するための数値列です。ネットワーク上の住所に相当するものと考えると分かりやすいでしょう。IPはInternet Protocolの略で、コンピューター同士が通信を行うためのプロトコル（通信規約）です。IPを用いたネットワークがIPネットワークで、インターネットも巨大なIPネットワークの一種です。

一方、ドメイン名もインターネット上の住所の役割を果たします。Webページを見たり、メールを送ったりするときに、相手がどこにいるのかを特定するための名前で、インターネット上のネットワーク（およびその配下）に付けられます。ドメイン名はIPアドレスと違って、人間が扱いやすいように文字や記号の並びが使われます。

例えば、「xxx.xxx.xxx.xxx」といった数値列で示されるのがIPアドレスです（xには数字が入る）。こちらはIPv4（Internet Protocol version 4）の表記です。

これに対し、「https://www.○○○.co.jp」のようなURLの「○○○.co.jp」の部分がドメイン名です。ドメイン名は他と重複しないよう管理されています。

ドメイン名のなかで、「www」の部分がホスト名です。また「ホスト名＋ドメイン名」を「FQDN（Fully Qualified Domain Name）」と呼びます。インターネットでは、FQDNは特定のサーバー（ホスト）を指し、結果としてそのホストに割り当てられたIPアドレスへ接続するために使われます。

DNSは、IPアドレスとドメイン名を紐付ける仕組みです。IPネットワーク上の通信は、機械的にはIPアドレスで相手を特定します。しかし人間にとってIPアドレスは数字の羅列で覚えづらいため、IPアドレスに意味のある名前（ドメイン名）を対応付け、ドメイン名から相手を特定できるようにしています。その対応付けを実現する仕組みがDNSです。

DNSでは、個々のドメイン名を管理するDNSサーバーが、ホスト名やホストのIPアドレスといった情報（DNSレコード）を保持しています。利用者（端末やアプリケーション）はDNSサーバーにドメイン名やホスト名を問い合わせ、その結果として対応するIPアドレスを受け取ります。この処理を「名前解決」と呼びます。

運用の観点では、名前解決は「通信の前段」で必ず発生する処理です。たとえばURLを入力しても接続できない場合、アプリケーションや回線の問題だけでなく、まず名前解決が成立しているかを切り分けるのが定石になります。逆に、名前解決が誤った結果を返すと、利用者は意図しない宛先へ接続してしまう可能性があるため、DNSは可用性だけでなく整合性の面でも重要です。

もう一点、実務で混乱が起きやすいのが「どの名前を引いているか」です。たとえばWebではFQDNを引くのが一般的ですが、メールではドメイン名に対するMXレコードを参照し、そこから別のホスト名へ到達するケースがあります。名前解決の対象がFQDNなのかドメイン名なのかで参照されるレコードが変わるため、症状に応じて「どの名前のどのレコードを見ているか」を意識すると、切り分けがしやすくなります。

また、社内向け名前と外部向け名前が混在する環境では、「同じサービス名に見えても、参照している名前が違う」ことがあります。たとえば社内では短いホスト名だけで到達できるが、社外ではFQDNが必要になる、といった状況です。どの名前を引いているかを揃えないと、DNSの問題なのか、利用している名前の前提（検索ドメイン設定など）の問題なのかが混ざりやすくなります。切り分けでは、“どの名前で失敗しているか”を最初に固定すると迷いにくくなります。

DNSサービスの構成要素

DNS（ドメインネームシステム）は、ドメイン名とIPアドレスの対応付けを行う仕組みです。ここでは、DNSの主要な構成要素を整理します。

DNSクライアント

DNSクライアント（スタブリゾルバー）は、エンドユーザーの端末（例：PC、スマートフォン）や各種システム上で動作し、名前解決が必要になったタイミングでDNSサーバーに問い合わせを送信します。また、過去の問い合わせ結果を一時的に保持するキャッシュ機能を備える場合も多く、以前に名前解決した宛先であれば、その情報を用いて問い合わせ自体を省略することがあります。

端末側キャッシュは応答を速くする一方で、「DNS側を直したのに端末では古い情報を参照し続ける」といった見え方の差が出ることがあります。障害時の切り分けでは、キャッシュの影響を意識することが重要です。

権威DNSサーバー

権威DNSサーバーは、DNSコンテンツサーバー、権威ネームサーバー、ゾーンサーバーなどとも呼ばれます。特定のドメイン（ゾーン）に対して、ホスト名とIPアドレスの対応付け情報を管理し、問い合わせに対して「そのドメインの正式な回答」を返すサーバーです。インターネット上で公開されることもあれば、企業内ネットワークなど限定された範囲で利用されることもあります。

英語の"Authoritative"（オーソリティブ）は、「権威がある」「正式な」といった意味を持ちます。このサーバーが特定ドメインに関する情報の正式な情報源（一次情報）であることが、名称に反映されています。

権威DNSサーバーは、委任の単位（ゾーン）で管理されます。どのサーバーが権威を持つかはNSレコードなどで示され、インターネット全体で分散管理が成立します。企業内でも、外部公開用と内部向けで回答を分ける設計を行う場合があり、DNS設計はネットワーク境界の考え方と密接に関係します。

DNSフォワーダー

DNSフォワーダーは、クライアントからの問い合わせを受け取り、必要に応じて別のDNSサーバーへ転送します。ルーターやファイアウォールなどがこの役割を担うケースも一般的です。端末が外部のDNSサーバーへ直接問い合わせない構成にすることで、問い合わせ経路を集約でき、監視・制御（フィルタリング）や運用面の整合を取りやすくなります。

フォワーダーは「中継点」を作る仕組みでもあります。たとえば社内で利用を許可する再帰DNSサーバーを統一したい、外向きDNS通信を制御したい、といった要件がある場合に有効です。一方で中継点が増えるほど、遅延や障害切り分けの観点では経路が複雑になりやすいため、どこで名前解決が止まっているかを追える設計と運用が求められます。

フォワード設計には「全転送」と「条件付き転送」という考え方があります。全転送は社内の問い合わせをまとめて上流へ渡す形で、構成が単純になります。条件付き転送はドメイン単位などで転送先を分ける方式で、社内ドメイン、クラウドの特定領域、パートナー領域など、参照先を意図的に分けたい場合に使われます。どちらが正しいというより、運用で「どこに聞きに行くか」を説明できる形にしておくことが重要です。

条件付き転送が増えるほど便利になる一方で、壊れやすくなるポイントも増えます。代表的には「特定ドメインだけ解決できない」「特定拠点だけ遅い」といった形で症状が局所化しやすくなります。転送先ごとに監視項目と変更手順を用意し、どの問い合わせがどの転送先に流れる設計なのかを運用として追える状態にしておくことが重要です。

キャッシュDNSサーバー

キャッシュDNSサーバー（再帰DNSサーバー、フルリゾルバー）は、クライアントからの問い合わせを受け、必要に応じて他のDNSサーバーへ問い合わせを行い、最終的な回答を返します。また、得られた回答を一定期間キャッシュし、同じ問い合わせに対して高速に応答する役割も担います。

キャッシュDNSサーバーが存在する理由は、名前解決の効率化と負荷分散です。キャッシュがあることで、同じ問い合わせのたびに権威DNSサーバーへ到達する必要がなくなり、応答の高速化とネットワーク負荷の低減につながります。

ただし、キャッシュの保持期間はDNSレコードに設定されるTTLなどの影響を受けます。TTLが長いと変更が反映されるまで時間がかかり、短いと問い合わせが増えやすくなります。DNS運用では、可用性や性能だけでなく「変更をどれくらいの時間で反映させたいか」も考慮して設計します。

なお、キャッシュには「存在しない」という結果が一定期間キャッシュされる場合もあります。これはネガティブキャッシュと呼ばれ、設定を直したのにしばらく解決しない、といった見え方の原因になることがあります。DNSを直した直後に挙動が揃わないときは、端末側だけでなく再帰DNS側のキャッシュも含めて影響を考えるのが安全です。

以上、DNSの構成要素を整理しました。権威DNSサーバーが対応付け情報の「正式な回答」を返し、キャッシュDNSサーバーが「問い合わせの集約と再帰処理、キャッシュ」を担います。さらにフォワーダーを挟むことで、運用やセキュリティ面のコントロールもしやすくなります。これらが連携して、インターネットの名前解決を支えています。

DNSサーバーと名前解決の仕組み

DNSサーバーとは、IPアドレスとドメイン名を紐付け、名前解決に必要な情報を返すサーバーです。

DNSサーバーが1台ですべてのドメイン名とIPアドレスの対応を管理しているわけではありません。DNSは、サーバーを階層化し分散させることで、巨大なインターネット全体を成り立たせています。

階層はドメイン名の構造から見て取れます。ドメイン名はドット（.）で区切られた複数の部分から成っており、右側ほど広い領域を指し、左へ行くほど範囲を絞り込む構造です。例えば「×××.○○○.co.jp」であれば、「jp」はトップレベルドメイン、「co」はセカンドレベルドメイン、「○○○」はその配下のドメインです。また、あるドメイン名の配下に設けられた下位のドメイン名は「サブドメイン」と呼ばれます。

名前解決では、まずルートゾーンを管理するルートサーバー（ルートネームサーバー）を起点に、トップレベルドメインを管理するサーバー、さらに下位のサーバーへと参照先をたどっていき、最終的に対象ドメインを管理する権威DNSサーバーへ到達して情報を得ます。なお「ルートサーバーは世界の十数か所にある」という理解になりがちですが、実際にはルートは13の論理サーバー（A〜M）として定義され、それぞれが世界中に多数の拠点（anycast）を展開して運用されています。

この階層構造があることで、インターネット全体としては「すべてを1か所で管理する」必要がなくなり、拡張性と分散性が担保されます。一方で利用者側から見ると、名前解決は複数の参照をたどる処理になり得るため、キャッシュDNSサーバーの存在が現実的な性能と安定性を支えています。次章では、参照をたどる方式としての「反復問い合わせ」と、利用者から見た「再帰問い合わせ」の役割分担を整理します。

実務の観点では、この階層構造そのものよりも、社内のどこで参照を終端させているかが重要です。端末が社内の再帰DNSへ聞き、再帰DNSがフォワーダーや上流へ聞きに行く構成では、障害点が「端末」「社内再帰DNS」「フォワーダー」「上流」のいずれにもなり得ます。後段で扱う切り分けでは、この参照経路を前提に、どこで止まっているかを見分けていきます。

「DNSサーバーの確認」「DNS設定」という検索意図が強いのは、まさにこの参照経路が環境によって違うためです。端末が参照しているDNSが社内の再帰DNSなのか、拠点のフォワーダーなのか、あるいは端末側で別経路（例：暗号化DNSの利用など）になっているのかが分からないと、障害の入口が定まりません。切り分けの章では、まず参照しているDNSを“特定する”ところから整理します。

反復問い合わせと再帰問い合わせ

DNSの問い合わせには、大きく分けて「反復問い合わせ」と「再帰問い合わせ」があります。それぞれの役割を整理します。

反復問い合わせ

反復問い合わせは、問い合わせ先のサーバーが最終回答を持っていない場合でも、次に参照すべきDNSサーバー情報を返す方式です。ルートサーバーやトップレベルドメインのサーバーに対する問い合わせは、一般にこの反復問い合わせの流れで処理されます（「次はここに聞いてください」という紹介を受け、参照先をたどっていきます）。

反復問い合わせのポイントは、問い合わせ先が「自分が知っている範囲」を返すことです。ルートやトップレベルドメインは最終のIPアドレスを返すのではなく、次にたどるべき権威DNSサーバー群を示し、問い合わせ側が段階的に参照先を進めます。これにより、インターネット全体としての分散管理が成り立ちます。

再帰問い合わせ

再帰問い合わせは、クライアントからの問い合わせを受けたキャッシュDNSサーバー（再帰DNSサーバー）が、必要に応じて他のDNSサーバーへ問い合わせを繰り返し、最終的な回答をまとめてクライアントへ返す方式です。クライアントは一度問い合わせるだけで回答を得られ、キャッシュDNSサーバー側でキャッシュも効くため、効率的に名前解決できます。

再帰問い合わせが実務で重要なのは、端末やアプリケーションの多くが「一度の問い合わせで答えが返る」ことを前提に動いているためです。社内で利用するDNSサーバー（再帰DNSサーバー）が適切に動作しないと、各端末は参照先をたどる処理を自力で完遂できず、結果として広範な通信が失敗する可能性があります。DNS運用では、再帰DNSサーバーの可用性と応答性能が、ユーザー体験や業務継続に直結します。

反復問い合わせと再帰問い合わせを役割分担させることで、インターネット全体としての効率性と堅牢性が維持されています。

切り分けの観点では、端末が再帰DNSへ投げた問い合わせが「すぐに応答される」のか「応答が返らない」のかで、疑うべき層が変わります。たとえば応答が返らない場合は、再帰DNS自体の障害、上流への到達性、DNS通信のフィルタリングなどが候補になります。一方で応答が返るが内容がおかしい場合は、キャッシュや権威DNS側のレコード、委任設定など、別の論点になります。次の章以降で、具体的な症状と結び付けて整理します。

また、端末側で参照しているDNSが想定と違う場合、この役割分担が崩れて見えることがあります。たとえば社内では再帰DNSを集約しているつもりでも、端末側が別経路のDNS（例：プライベートDNSや暗号化DNS）を使う設定になっていると、問い合わせが社内の再帰DNSを通らず、監視や制御の前提がずれる場合があります。こうした“参照経路の逸脱”は、切り分けの難易度を上げるため、運用として許容・禁止・例外の扱いを決めておくことが現実的です。

DNSレコードの種類

DNSでは名前解決を行うためにさまざまなレコードが使われます。各レコードには用途があります。

レコードの種類	説明
Aレコード（Address Record）	Aレコードは、ドメイン名をIPv4アドレスに対応付けます。例えばブラウザでURLを入力すると、名前解決の過程でAレコード（または後述のAAAAレコード）を参照し、接続先のIPアドレスを得て通信を開始します。
AAAAレコード（Quad-A Record）	AAAAレコードは、IPv6アドレスに対応するDNSレコードです。IPv6アドレスをドメイン名に関連付け、同じホスト名に対してIPv4とIPv6の両方で到達できるようにする用途でも使われます。
MXレコード（Mail Exchange Record）	MXレコードは、電子メールの配送先サーバーを指定します。複数のMXレコードがある場合、優先度に基づいて送信先が選ばれます。障害時の切り替えなど、柔軟なルーティングにも関係します。
NSレコード（Name Server Record）	NSレコードは、特定のドメイン（ゾーン）を管理する権威ネームサーバーを指定します。NSレコードによって管理を委任できるため、DNSの階層構造と分散管理が成立します。
SOAレコード（Start of Authority Record）	SOAレコードは、DNSゾーンの管理情報を示します。ゾーンの主要ネームサーバー、管理者情報（メールアドレス表現）、各種タイマー（リフレッシュ間隔など）を含み、ゾーン運用の基礎となります。
CNAMEレコード（Canonical Name Record）	CNAMEレコードは、別名（エイリアス）を提供するレコードです。別ドメイン名へ向けたい場合や、同一のサービスを複数の名前で提供したい場合に利用されます。運用では、同じ名前に別の種類のレコードを併用できない場合がある点など、制約を意識することが重要です。
TXTレコード（Text Record）	TXTレコードは、ドメインに関連する任意のテキスト情報を保持します。送信ドメイン認証の仕組みとして使われるSPFのポリシー情報などや、各種ドメイン所有確認のための情報を掲載する用途でよく使われます。
PTRレコード（Pointer Record）	PTRレコードは、IPアドレスからドメイン名を引く「逆引き」に利用されます。メール配送などで送信元の確認に使われることがあります。逆引きは専用のゾーンで運用され、IPv4はin-addr.arpa、IPv6はip6.arpa配下で管理されます。
SRVレコード	SRVレコードは、サービス探索のために利用されるレコードです。特定のサービスがどのホストのどのポートで提供されているかを示せるため、業務システムやディレクトリ系の連携などで参照される場合があります。
CAAレコード	CAAレコードは、ドメインに対してどの認証局が証明書を発行できるかを制御する目的で利用されます。公開系の運用では、証明書発行の統制という観点で登場することがあります。

DNSレコードは、インターネットの基盤を構成する重要な情報です。用途に応じたレコードを適切に設計・設定することが、安定した名前解決とセキュアな運用につながります。

運用面では、レコードの内容だけでなく、TTLの設計も実務ポイントになります。たとえば切り替え作業の直前にTTLを短くして反映を早め、切り替え後にTTLを戻すといった運用が行われることがあります。逆にTTLが長いまま変更すると、利用者側のキャッシュが残り、想定より長く旧宛先へ接続される可能性があります。

また、NSやSOAは「そのゾーンをどう運用するか」に直結するレコードです。DNSは設定項目が少なく見えても、委任やキャッシュ、反映時間などの要素が絡むため、変更作業では影響範囲を見積もり、切り戻し手順も含めて慎重に設計することが重要です。

委任に関連して覚えておきたいのが、参照先として示したネームサーバー名を解決するための情報が必要になる点です。たとえば、委任先として示したネームサーバーが「委任するドメインの配下名」であり、かつそのアドレス情報を委任先ゾーン側でしか持っていないと、参照の途中でネームサーバー名自体が解決できず行き詰まる場合があります。こうした状況を避けるために、親ゾーン側に参照用のアドレス情報を補助的に持たせる運用があり、一般にグルーレコードと呼ばれます。委任まわりの変更や移行では、この補助情報の不足や不整合が「突然引けなくなる」事故につながりやすいため、特に注意が必要です。

委任やグルーレコードが関わるトラブルは、現象としては「特定ドメインだけ引けない」「権威DNSへ辿れない」といった形で表れます。DNSサーバー自体は動いているように見える一方で、参照の途中で行き詰まるため、切り分けでは“どの層まで辿れているか”を意識することが重要になります。後段の切り分け章では、結果の見え方で疑う対象を分ける考え方を整理します。

典型トラブル症状と切り分け手順

DNSは、仕組みを理解していても、実務では「いま起きている障害がDNS起因かどうか」を素早く見分けることが重要です。ここでは、よくある症状と、結果の見え方で分岐する切り分け手順を整理します。

よくある症状

DNS起因のトラブルは、アプリケーションや回線の障害と見分けがつきにくいことがあります。次のような症状が出る場合は、名前解決を疑う余地があります。

ドメイン名では開かないが、IPアドレスを指定すると到達できる
特定ユーザーや特定拠点だけ遅い、または失敗する
ある端末だけ古い宛先に接続し続ける
Webは問題ないが、メール送信だけ失敗する

また、ブラウザやOSが示すメッセージも手掛かりになります。たとえば「名前が見つからない」「DNS_PROBE_FINISHED_NXDOMAIN」のような表示は“その名前が存在しない方向”を疑う入口になり、「DNSサーバーは応答していません」のような表示は“応答が返らない方向”を疑う入口になりやすい、といった違いがあります。

まず確認する3点

「DNSサーバーの確認」「DNS設定」という検索が多いのは、切り分けの最初に“前提”を固める必要があるためです。最初に次の3点を押さえると、原因の当たりを付けやすくなります。

端末が参照しているDNSサーバーはどれか（社内再帰DNSか、拠点の中継点か、別経路になっていないか）
そのDNSサーバーへ到達できているか（応答が返るか、応答までの時間が極端に延びていないか）
いま問題になっているのは「どの名前」か（FQDNなのか、ドメイン名なのか、MX参照なのか）

参照しているDNSサーバーの確認は、OSや端末種別で場所が変わります。詳細手順は環境により異なりますが、一般に、Windowsではネットワークアダプターの設定や接続プロパティ、macOSではネットワーク設定、スマートフォンではWi-FiやプライベートDNS設定の周辺で確認できます。ここで“想定外の参照先”になっていると、その後の切り分けが崩れます。

結果で分岐する切り分け手順

切り分けの基本は「どの層で止まっているか」を分解することです。社内では、端末が直接インターネットへ問い合わせるのではなく、社内の再帰DNSやフォワーダーを経由する構成が一般的です。したがって、まずは「応答が返るか」「返るならどんな種類の応答か」で分岐すると迷いにくくなります。

応答が返らない場合は、DNSサーバー障害、上流への到達性、DNS通信の遮断や制御などを疑います
応答は返るが解決できない場合は、レコードや委任、参照先の誤り、キャッシュの影響などを疑います

次に、応答の種類に注目します。検索で特に多いのがNXDOMAIN系のエラーであり、実務でもここを押さえると切り分けが速くなります。代表的には、次の3つで“疑う方向”が変わります。

NXDOMAIN（存在しない）：その名前が存在しない方向です。レコード未登録、スペルミス、参照しているゾーンの誤り、委任設定の誤り、条件付き転送の参照先ミスなどが候補になります
SERVFAIL（解決に失敗）：上流参照や検証で失敗している方向です。再帰DNSの上流到達性、フォワーダー先の障害、設定不整合、DNSSEC検証失敗など“上流依存”の論点が候補になります
タイムアウト（応答なし）：そもそも応答が返らない方向です。再帰DNS自体の障害、転送先や上流への到達性、UDP/TCP 53の遮断、経路上のフィルタリング、負荷飽和などが候補になります

さらに、応答は返るが遅い場合は、「毎回上流参照が発生してキャッシュが効いていない」「条件付き転送の経路が伸びている」「一部の問い合わせだけTCP再試行になっている」など、構成や通信条件による遅延を疑う入口になります。結果が“返る／返らない”だけでなく、“遅い”も分岐の材料になります。

この分岐を踏まえたうえで、次の順に確認対象を整理すると、障害点を絞り込みやすくなります。

端末側のキャッシュの影響が残っていないか
社内の再帰DNSが応答できているか
フォワーダーや上流DNSへ到達できているか
権威DNS側のレコードや委任設定に問題がないか

また、正引きと逆引きも分けて考えると整理が進みます。正引きはドメイン名からIPアドレスを得る処理で、Webや多くの通信の前提になります。逆引きはIPアドレスから名前を引く処理で、メール配送の文脈などで参照されることがあります。症状がメールに偏る場合は、正引きだけでなく逆引きや送信ドメイン認証の参照も含めて確認するのが合理的です。

切り分けで重要なのは、DNSはキャッシュが多層に存在する点です。端末、社内再帰DNS、上流側のいずれかのキャッシュが残っていると、設定を直した後も挙動が揃わないことがあります。DNSが疑わしいときは、問い合わせの経路とキャッシュの層をセットで意識すると、現象を説明しやすくなります。

なお、切り分けの現場では問い合わせ結果を確認するためにnslookupなどのツール名が挙がることがあります。本記事では手順をツール依存にせず、どの結果を見てどう分岐するかの考え方に焦点を当てています。重要なのは「何が返ったか（返らないか）」を根拠に、疑う対象を絞っていくことです。

DNS設計の考え方

DNSの仕組みを理解したうえで、企業ネットワークでは「どう配置し、どう分離し、どう冗長化するか」が実務の論点になります。ここでは典型的な設計観点を、判断材料と落とし穴も含めて整理します。

社内再帰DNSの置き方

端末が参照する再帰DNSは、業務通信の入口としての性格が強い存在です。配置の基本は、端末が確実に到達でき、監視や運用の責任範囲が明確になる場所に置くことです。拠点が複数ある場合は、拠点ごとに再帰DNSを持たせるか、集約するかで、遅延や障害時の影響範囲が変わります。

判断の軸としては、拠点間回線に依存しても良いのか、拠点ローカルで完結させたいのか、障害時にどの範囲まで影響を許容できるのかを先に決めるのが安全です。特定拠点だけ遅い、特定拠点だけ解決できないといった症状は、拠点ごとの参照経路やDNS配置の差が原因になりやすいためです。

加えて、端末が参照するDNS設定の統一は、設計と運用の境界にある論点です。DHCP配布や端末管理の設定で参照先を揃えているつもりでも、例外端末や手動設定、VPN利用時の挙動などで“想定外の参照先”が混ざると、障害が局所化しやすくなります。設計段階で「参照先はどこで統制するか」「例外が出たときにどう検知するか」を決めておくと、運用が安定しやすくなります。

冗長化の考え方

DNSは単一点障害になりやすいため、再帰DNSの冗長化は基本設計の論点です。複数台構成にする、複数拠点に分散するなどの方法がありますが、重要なのは「片系が落ちたときに端末がどの参照先へ切り替わるか」を運用として説明できることです。DNSは静的な設定に見えても、障害時の挙動がそのまま業務停止につながるため、フェイルオーバー時の挙動確認は欠かせません。

冗長化で決めるべき項目は、単に台数を増やすことではなく、端末側の参照順や切り替え条件も含みます。たとえば、端末が参照するDNSサーバーの並び、片方が応答遅延になったときの見え方、切り替えが起きたことをどう検知するか、どの水準を異常と見なすかといった運用の定義が重要です。冗長化したのに切り替わらず止まる、切り替わったが遅延が増えて気付けない、といった落とし穴を避けるためにも、監視と合わせて設計する必要があります。

もう一段の判断材料として、冗長化は「切り替えさえすれば良い」ではなく、「切り替え後の品質をどう担保するか」も含みます。たとえば片系に切り替わった結果、外向きの参照経路が変わって遅延が増える、条件付き転送の経路だけ失敗する、といった“部分的な劣化”が起きる可能性があります。切り替え後に何を確認すれば正常と判断できるか（応答時間、失敗率、特定ドメインの解決可否など）を設計段階で定義しておくと、障害対応の迷いが減ります。

内部向けと外部公開の分離

企業では、外部公開用の権威DNSと、社内利用の名前解決を担うDNSを分離する構成が一般的です。外部向けはインターネットから参照される前提のため、公開範囲や更新手順が重要になります。一方、社内向けは社内システム名の解決や運用統制が焦点になります。役割を分けることで、更新ミスや不要な公開を避けやすくなります。

また、同じ名前でも参照元によって返す答えを変える設計が採られる場合があります。社内からは内部アドレスを返し、インターネットからは公開用アドレスを返す、といった考え方です。これは便利な一方で、切り分けが難しくなることもあります。どの条件でどの答えを返すのかを運用として管理し、障害時に「いまどの経路で、どの答えを引いているのか」を説明できる状態にしておくことが重要です。

フォワード設計

フォワード設計では、全転送で単純化するか、条件付き転送で参照先を分けるかが代表的な論点です。条件付き転送は、社内ドメインや特定のクラウド領域などを意図した参照先へ導けるため、構成としては合理的です。一方で、転送先が増えるほど、遅延や障害切り分けの観点では複雑になりやすくなります。転送先の増減は、監視項目と変更手順をセットで見直すのが安全です。

判断材料としては、参照先を分けることで得たいメリットが、運用コストの増加に見合うかを考えるのが現実的です。条件付き転送は「特定ドメインだけ解決できない」「転送先だけ遅い」といった局所障害を生みやすいため、転送先ごとに責任範囲、監視、変更窓口、切り戻し手順を定義できない場合は、構成の単純化を優先する判断もあり得ます。

条件付き転送が増えると壊れやすいポイントとしては、「転送先の障害が特定ドメインの障害として表れる」ことに加え、「変更が分散して整合が取りにくくなる」点もあります。転送先が多いほど、変更時に“どこを触ったか”の追跡が難しくなり、切り分けでも“どの経路を通ったか”の説明が必要になります。増やす前に、問い合わせがどの転送先に流れるかを可視化できる状態（設計書や運用手順として追える状態）を作っておくことが、運用コストを抑える近道です。

端末側DNSの逸脱への考え方

近年は、端末側でプライベートDNSや暗号化DNS（DoHなど）を有効にできる環境も増えています。これは利便性やプライバシーの観点で意味がある一方、企業ネットワークの運用では「参照先を統制している前提」が崩れることがあります。たとえば社内再帰DNSを通る前提で監視やフィルタを設計している場合、端末が別経路のDNSを使うと、ログが取れない、切り分けができない、フィルタが効かない、といった問題につながり得ます。

重要なのは、是非を一般論で決めることではなく、運用として「許容するか」「禁止するか」「例外をどう扱うか」を決め、逸脱が起きたときに検知できる状態にすることです。ここが曖昧だと、DNSトラブルが起きたときに“参照経路の前提”から確認し直すことになり、復旧までの時間が延びやすくなります。

キャッシュと反映時間の勘所

DNSの運用で事故が起きやすいのが、変更の反映時間とキャッシュです。TTLに触れていても、実務では「どこにどんなキャッシュが残るか」を具体的に把握しておく必要があります。

まず、DNSの反映が遅れる原因は一つではありません。端末側のキャッシュ、社内再帰DNSのキャッシュ、さらに上流側のキャッシュなど、複数の層で情報が保持され得ます。したがって「DNSを直したのに直っていないように見える」場合は、どの層のキャッシュが残っているかを疑うのが定石です。

次に、存在しないという結果が一定期間キャッシュされる場合があります。これにより、レコードを追加した直後でも、しばらくは存在しないように見えることがあります。DNS変更の直後に挙動が揃わないときは、TTLだけでなく、こうしたキャッシュの扱いも影響し得る点を覚えておくと説明がつきやすくなります。

切り替え作業の定石としては、想定される影響範囲と反映時間を見積もったうえで、必要に応じて事前にTTLを調整することが挙げられます。切り替え前にTTLを短くし、切り替え後に元へ戻す運用はよく行われますが、TTLを短くすると問い合わせが増え、再帰DNSの負荷や上流へのトラフィックが増える可能性もあります。変更を急ぐか、安定性を優先するかは、運用の優先順位として整理しておくのが安全です。

また、切り戻しを考えるなら「いつ元に戻せるか」だけでなく「戻した情報がいつ利用者に届くか」もセットで考える必要があります。DNSは反映が段階的に進むため、切り替えと切り戻しのどちらも、想定される時間軸を作業計画に織り込むことが重要です。

検索で「DNSキャッシュクリア」といった言葉が多いのは、まさにこの“層の違い”が体感として分かりにくいためです。たとえば、端末側のキャッシュが残ると「その端末だけ古い宛先に行く」ように見え、再帰DNS側のキャッシュが残ると「拠点や範囲でまとめて古い結果になる」ように見えることがあります。さらにネガティブキャッシュが残ると、「直したのにNXDOMAINのまま」に見える場合もあります。

したがって「直したのに直らない」ときは、闇雲に“キャッシュを消す”のではなく、どの層を対象にすべきかを決めるのが実務的です。まずは現象が端末単位なのか、拠点や範囲でまとまっているのかを観察し、対象が端末側なのか、社内再帰DNS側なのかを切り分けます。対象が定まれば、作業の影響範囲（誰に影響するか、どこまで揃うか）も説明しやすくなります。

DNSの仕組みを悪用した攻撃手法

DNSサービスは重要性が高く、攻撃者に狙われやすい領域でもあります。代表的な攻撃手法を紹介します。

DNSキャッシュポイズニング

DNSキャッシュポイズニングは、DNSキャッシュに不正な情報を混入させる攻撃です。攻撃者が偽のDNS応答を送り、正規のサーバーからの応答よりも早くキャッシュDNSサーバーへ到達させることで、不正なIPアドレス情報がキャッシュされる可能性があります。結果としてクライアントが偽サイトへ誘導され、個人情報などが盗まれるリスクがあります。DNSSECの導入やキャッシュの有効期限（TTL）の適切な運用が対策として挙げられます。

運用上は、再帰DNSサーバーの外部公開範囲や、問い合わせを許可する送信元の制御も重要です。誰でも再帰問い合わせできる状態は、意図しない悪用につながる可能性があるため、利用範囲を明確にしたうえで運用します。

DNSアンプリフィケーション攻撃

DNSアンプリフィケーション攻撃は、要求と応答の情報量が増幅しやすい点を悪用する攻撃です。攻撃者が送信元IPアドレスを偽装してDNS要求を送り、応答が被害者へ大量に返るよう仕向けます。その結果、被害者側の回線や機器が飽和し、サービス運用が妨げられる可能性があります。対策としては、リクエストレートの制限や不正トラフィックのフィルタリングなどが考えられます。

ドメイン名ハイジャック

ドメイン名ハイジャックは、攻撃者がドメインの登録情報に不正にアクセスし、その情報を改ざんすることでドメインを乗っ取る攻撃です。正規サイトへアクセスできなくなるなど、ビジネスに深刻な影響を及ぼす可能性があります。対策としては、多要素認証の導入や、登録情報の定期確認が有効です。

DNSトンネリング

DNSトンネリングは、DNSの問い合わせ・応答にデータを埋め込み、隠密に送受信する攻撃手法です。これにより、不正な通信の隠蔽や機密情報の持ち出しにつながるリスクがあります。対策としては、DNSトラフィックの監視（異常検知）や、フィルタリングルールの適用などが挙げられます。

ファストフラックス

ファストフラックスは、DNSレコード（特にAレコードなど）を高頻度で変更し、攻撃インフラの実体を隠蔽する手法です。追跡が難しくなり、対策が遅れる可能性があります。DNSの挙動分析や不正トラフィックのフィルタリングなどの対策が重要です。

ここまでの攻撃手法を踏まえると、DNSは「設定したら終わり」ではなく、監視やログの確認、問い合わせ経路の制御などを含めて継続的に運用する対象になります。優先順位としてまず重要なのは、再帰DNSを不用意に外部へ公開しないことと、問い合わせ元を制御できる構成にすることです。

そのうえで監視では、失敗率や遅延、NXDOMAINの急増、外向きクエリの急増などを対象に含めると、普段との差分を手掛かりに異常に気付きやすくなります。目的は「いつもと違う状態」を早く検知し、切り分けの起点を作ることです。

ドメイン名ハイジャックへの対策は、DNSサーバー側の設定だけで完結しない場合があります。登録情報の保護や変更監視など、ドメイン管理の運用を含めて「変更が正規かどうか」を確認できる状態を作ることが重要です。

また、端末側で参照するDNS経路が分散すると、監視や統制の前提も揺らぎやすくなります。セキュリティ観点でも、問い合わせ経路を“どこに集約するか”は重要な論点です。許容する経路と例外の扱いを決め、いつもと違う経路の増加に気付ける状態にしておくと、攻撃と事故の両方に強くなります。

まとめ

インターネットやイントラネットにおいてDNSは重要な役割を果たしています。その仕組みがなければ、Webサイトを閲覧することもメールを使うこともできません。DNSの基本を理解し、必要に応じて運用上の注意点や攻撃手法も押さえておきましょう。

特に実務では、DNSは「通信の前提」であるため、障害時の切り分けや変更作業の影響見積もりに直結します。権威DNSサーバーとキャッシュDNSサーバーの役割、反復問い合わせと再帰問い合わせの違い、TTLや委任、キャッシュと反映時間の勘所を押さえることで、DNSを“理解している状態”に近づきます。

次のアクションとしては、社内の名前解決経路を「端末→再帰DNS→フォワーダー→上流」の形で整理し、どこで詰まっているかを説明できる状態にすることが有効です。あわせて、まず確認する3点（参照しているDNS、到達性、どの名前を引いているか）を“切り分けの起点”として持つことで、DNSエラーの種類（NXDOMAIN／SERVFAIL／タイムアウト）に応じて疑う範囲を素早く絞れます。

運用面では、再帰DNSの外部公開範囲と問い合わせ元の制御、失敗率や遅延、NXDOMAIN急増、外向きクエリ増などの監視を整えることが、DNSを運用対象として安定させる近道です。また、端末側のプライベートDNSや暗号化DNSの利用が混ざると参照経路が分散し、切り分けや統制が難しくなる場合があります。許容・禁止・例外の扱いを決め、想定外の参照先が増えていないかに気付ける状態を作ることも、実務では重要な論点になります。