MicrosoftがWindows ServerにDNS over HTTPS(DoH)の正式サポートを追加した。数か月間プレビュー段階にあった本機能がついに本番環境向けに提供され、大規模なネットワーク改修を伴わずにDNSトラフィックの暗号化が実現できるようになった。
DNS over HTTPSとは何か
DNS(Domain Name System)はドメイン名をIPアドレスに変換する、インターネットの「電話帳」に相当する基盤技術だ。しかし従来のDNSクエリは平文(暗号化なし)で送信されるため、通信経路上の第三者がどのサイトにアクセスしているかを容易に把握できる。
DNS over HTTPS(DoH)はこのクエリをHTTPS(TLS)で暗号化し、通信内容を保護するプロトコルだ。Webブラウザ向けには数年前から普及が進んでいたが、Windows ServerのDNSサーバー機能として標準サポートされるのは今回が初めてとなる。
何が変わるのか
今回の正式GA(一般提供)で押さえておくべきポイントは以下の通りだ。
- DNSトラフィックの暗号化: クエリ内容がHTTPS経由で保護され、通信経路での盗聴・改ざんが困難になる
- 既存ネットワーク構成への影響が小さい: 大規模なネットワーク改修を伴わずに導入できる点をMicrosoftは強調している
- 社内DNSにも適用可能: 外部DNSサービスだけでなく、オンプレミスのWindows Server DNSでも暗号化通信が実現できる
実務への影響
ゼロトラストアーキテクチャを推進している組織にとっては特に意味のある強化だ。ゼロトラストの基本原則は「内部ネットワークだから安全」という前提を捨て、すべての通信を検証することにある。IDやエンドポイントをどれだけ強化しても、DNSが平文のままでは通信先ドメインの一覧が経路上で丸見えになる穴が残る。
日本の大企業や官公庁では、ゼロトラスト移行の文脈でネットワーク全体の可視化・制御を強化しているフェーズの組織が多い。Windows Server 2025以降を利用している環境であれば、追加のネットワーク機器投資なしにこの穴を塞げる可能性がある。
IT管理者が確認すべき項目:
- 利用中のWindows ServerバージョンでDoHが利用可能かを確認する
- ファイアウォールやプロキシルールで、HTTPS(443ポート)経由のDNS通信が許可されているかを確認する
- クライアント側(Windows 11)でもDoHが有効になっているか確認する(クライアントとサーバーの両方を揃えるのが理想)
- DoH導入後のDNSトラフィック可視性の変化を事前に把握し、既存のセキュリティ監視フローへの影響を検討する
筆者の見解
ゼロトラストが注目されて久しいが、「認証強化した」「EDR入れた」で終わり、DNSは従来のまま放置している組織は今も多い。そういった意味で、Microsoftがこの機能をWindows Server標準機能に組み込んだことは評価に値する。セキュリティ製品を別途調達しなくても、OS標準でDNS暗号化を実現できる選択肢が増えることは、現場の導入ハードルを下げる上で重要だ。
ただし誤解のないように補足しておきたい。DoHはあくまでDNS通信の暗号化であり、DNSフィルタリング(悪意のあるドメインのブロック)の代替機能ではない。従来のDNSトラフィックを監視してセキュリティインシデント検知に役立てているチームは、DoH導入によって可視性が下がるケースがあるため、設計段階での十分な検討が必要になる。
インフラの土台レイヤーを丁寧に固めていくこの方向性は正しい。複雑な実装をOSが吸収してくれれば、現場への展開障壁は大きく下がる。セキュリティの底上げが「買い物」ではなく「設定」で完結できる領域が増えることを、継続して期待したい。
出典: この記事は Windows Server gets DNS over HTTPS (DoH) support の内容をもとに、筆者の見解を加えて独自に執筆したものです。