Zero Trust DNS でより安全なインターネット アクセス

Transcript

1. Zero Trust DNS で より安全なインターネットアクセス Murachi Akira aka Hebikuzure

2. About me • Murachi Akira aka hebikuzure ( 村地 彰

   ) • 株式会社エクシードワン 技術フェロー • 株式会社シーピーエス 技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 15 Years! ) • Award Category: Windows and Devices - Windows Cloud and Datacenter Management – Windows Server • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://x.com/hebikuzure 2025/09/25 2 Murachi Akira aka Hebikuzure

3. 目次 • Zero Trust とは • Zero Trust Network •

   DNS のセキュリティ • Zero Trust DNS • Zero Trust DNS を試す • Zero Trust DNS の課題 • 今後の見通し • まとめ 2025/09/25 Murachi Akira aka Hebikuzure 3

4. Zero Trust Network 2025/09/25 Murachi Akira aka Hebikuzure 4

5. Zero Trust とは • アクティビティはすべて「無条件で信頼しない」 • 「境界」を信頼しない • 「事務所内」を信頼しない •

   ネットワーク境界を信頼しない • ファイアウォールを信頼しない • プロキシを信頼しない • ユーザーを信頼しない • ロールやアクセス権を検証する • アクティビティを監視する 2025/09/25 Murachi Akira aka Hebikuzure 5

6. Zero Trust の対応 • すべてのアクティビティを明示的に検証する • 利用可能なすべてのシグナルを使用してセキュリティ制御を自動的に適 用する • 最小権限アクセスの原則を採用する

   • Default block • 侵害を想定する • エンドツーエンド暗号化の検証 • 分析通じた可視化による脅威の検出 • 防御の強化 2025/09/25 Murachi Akira aka Hebikuzure 6

7. Zero Trust Network • 従来の「境界防御」「多層防御」に頼らないセキュリティ モデル • 「境界防御」「多層防御」が不要になるわけではない 2025/09/25 Murachi

   Akira aka Hebikuzure 7

8. DNS のセキュリティ 2025/09/25 Murachi Akira aka Hebikuzure 8

9. DNS のセキュリティ • DNS の仕様（RFC1034/1035）ではネットワーク セキュリティはほ ぼ考慮されていない • クライアント認証無し •

   サーバー認証無し • 平文通信（暗号化なし） 2025/09/25 Murachi Akira aka Hebikuzure 9

10. DNSSEC • 電子署名の仕組みを利用して以下を検証する • 応答が、問い合わせた本来の権威ネームサーバからの応答かどうか • パケット内容が改ざんされていないかどうか • 問い合わせたレコードが存在するか否か •

    DNS キャッシュポイズニングへの対策 2025/09/25 Murachi Akira aka Hebikuzure 10

11. DNSSEC の仕組み 2025/09/25 Murachi Akira aka Hebikuzure 11 DNS サーバー

    秘密鍵 で暗号化 リソースレコード ハッシュ化 ハッシュ値 署名 リソースレコード 署名 リソースレコード ハッシュ化 ハッシュ値 署名 公開鍵 で復号 ハッシュ値 照合 リゾルバ DNSSEC 問い合わせ

12. DNSSEC の課題 • ネットワーク負荷の増大 • DNSクエリとレスポンスのサイズが増加する • サーバ負荷の増大 • 電子署名とその検証の負荷がかかる

    • 運用工数の増大 • 暗号鍵やハッシュの管理・運用が複雑 2025/09/25 Murachi Akira aka Hebikuzure 12

13. DNSSEC の普及率 2025/09/25 Murachi Akira aka Hebikuzure 13 https://stats.labs.apnic.net/dnssec

14. DoH /DoT • DoH : DNS over HTTPS • DNS

    クエリと応答を HTTPS でカプセル化 • 443 ポートを利用 • DoT : DNS over TLS • DNS クエリと応答を TLS で暗号化 • 853 ポートを利用（他のポートも利用可） 2025/09/25 Murachi Akira aka Hebikuzure 14

15. DNSSEC と DoH/DoT • DNSSEC = DNS SECurity extensions •

    電子署名つき DNS 応答、暗号化しない（機密性はない） • 完全性の保証 • DoH/DoT • DNS 通信の暗号化 • 機密性の保証 • DNSSECが守るもの ≠ DoH/DoTが守るもの • DoH/DoT と DNSSEC は共に必要な技術 2025/09/25 Murachi Akira aka Hebikuzure 15

16. DNSSEC と DoH/DoT が守るもの • DNSSEC • DNS 応答のセキュリティ •

    DNS サーバー自体のセキュア化 • DoH/DoT • DNS 通信のセキュリティ • DNS 通信経路のセキュア化 2025/09/25 Murachi Akira aka Hebikuzure 16

17. DNSSECとDoH/DoTで守られないもの • クライアントのセキュリティ • 問い合わせ先の DNS サーバーは「安全」ですか？ • DNS はアプリケーション

    プロトコルなので、アプリごとに独自の DNS 設定が可能 • Windows 10 以降、Wi-Fi プロファイルごとに（ユーザー権限で） DNS 設定が可能 • HOSTS ファイルの改ざんの可能性もある 2025/09/25 Murachi Akira aka Hebikuzure 17

18. DNSSECとDoH/DoTで守られないもの • クライアントのセキュリティ • 問い合わせ先の DNS サーバーは「安全」ですか？ • DNS はアプリケーション

    プロトコルなので、アプリごとに独自の DNS 設定が可能 • Windows 10 以降、Wi-Fi プロファイルごとに（ユーザー権限で） DNS 設定が可能 2025/09/25 Murachi Akira aka Hebikuzure 18 攻撃者が DNS 設定を ハイジャック可能

19. Zero Trust DNS • DNS クライアント（Windows 環境）の保護 • 信頼され認証された DNS

    サーバーとの保護された DNS 通信でのみ 名前解決を許可する • 保護された DNS 通信を経由する、信頼された名前解決で提供され た IP アドレスのみ送信接続を許可する • Windows 11 Insider Preview でプレビュー提供中 2025/09/25 Murachi Akira aka Hebikuzure 19

20. Zero Trust DNS • DNS クライアント（Windows 環境）の保護 • 信頼され認証された DNS

    サーバーとの保護された DNS 通信でのみ 名前解決を許可する • 保護された DNS 通信を経由する、信頼された名前解決で提供され た IP アドレスのみ送信接続を許可する • Windows 11 Insider Preview でプレビュー提供中 2025/09/25 Murachi Akira aka Hebikuzure 20 「DNS」という名前だが、実態は「DNS＋Firewall」

21. Zero trust DNS 2025/09/25 Murachi Akira aka Hebikuzure 21

22. Zero Trust DNS の仕組み • Windows フィルタリング プラットフォーム (WFP) を利用する

    • 「保護 DNS」(Protective DNS, PDNS) への DoH/DoT トラフィッ クと、保護 DNS で解決された IP アドレスへの通信のみ許可する • それ以外のトラフィックをブロックする 2025/09/25 Murachi Akira aka Hebikuzure 22 PDNS Malicious DNS Zero Trust DNS

23. Zero Trust DNS の動作（１） 2025/09/25 Murachi Akira aka Hebikuzure 23

    MDM などを通じて Windows に Zero Trust DNS (ZTDNS) クライアントの 構成情報をプロビジョニング • 常に許可するサブネットの一覧 • PDNS サーバーのリスト • PDNS サーバーの証明書、 • クライアント認証に使用される証明書 以下の図版は https://techcommunity.microsoft.com/blog/networkingblog/announcing-zero-trust-dns-private-preview/4110366 から引用

24. Zero Trust DNS の動作（２） 2025/09/25 Murachi Akira aka Hebikuzure 24

    PDNS サーバーへの接続と、ネットワーク接続情報の検出に必要な DHCP などを除く、すべての送信 IPv4 / IPv6 トラフィックをブロック DHCP や RDNSS での DNS 構成情報は無視される

25. Zero Trust DNS の動作（３） 2025/09/25 Murachi Akira aka Hebikuzure 25

    1. アプリケーションは ZTDNS クライアントにクエリを送信 2. ZTDNS クライアントは事前構成された PDNS に DoH/DoT で問い合わせ 3. PDNS サーバーは許可されているクライアントからの問い合わせか、 許可されているドメイン名の問い合わせかをチェック

26. Zero Trust DNS の動作（４） 2025/09/25 Murachi Akira aka Hebikuzure 26

    4. PDNS サーバーは ZTDNS クライアントに応答 5. ZTDNS クライアントは応答された IP アドレスへの送信接続を、クエリ元の アプリケーションに対して許可 6. ZTDNS クライアントからアプリケーションに DNS 応答を返却 7. アプリケーションが目的のドメインに送信接続

27. Zero Trust DNS の動作（５） 2025/09/25 Murachi Akira aka Hebikuzure 27

    ZTDNS を経由しない DNS クエリや送信接続はすべてブロックされる

28. Zero Trust であるということ • DNS を含むトラフィックがデフォルトで禁止されていると想定 • 「保護された DNS サーバーで名前解決できた

    IP アドレス＝信頼され る送信先」という検証を通信ごとに行う • DNS サーバーを通じてドメイン名ベースのアクセス制御が可能 2025/09/25 Murachi Akira aka Hebikuzure 28

29. ドメイン名レベルのアクセスログ取得 2025/09/25 Murachi Akira aka Hebikuzure 29 外部への送信接続はすべて ZTDNS で名前解決されるので、すべての

    トラフィックをドメイン名レベルでロギング可能

30. ZTDNS の互換性 • PDNS (DNS サーバー) の最小要件は DoH または DoT

    のサポート • クライアント検証、ドメイン名検証はオプション • 新しいネットワークプロトコルの追加は無い • 今までの DNS エコシステムと互換性がある 2025/09/25 Murachi Akira aka Hebikuzure 30

31. Zero Trust DNS を試す 2025/09/25 Murachi Akira aka Hebikuzure 31

32. 用意するもの • Windows 11 Insider Preview ビルド 27766 以降 •

    現時点では GUI やポリシーでの構成はサポートされていない • 監査モードと適用モードが構成可能 • 監査モード：実際には ZTDNS として動作せず、代わりに予想されるすべての ZTDNS 動作をログに記録 • 適用モード：実際に ZTDNS として動作する 2025/09/25 Murachi Akira aka Hebikuzure 32

33. ZTDNSのロック解除 • ZTDNS は既定では無効なので、レジストリ値を構成して有効にする • キー： HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥Dnscache¥Parameters • 名前：Experiment4712 •

    種類：REG_DWORD • データ：0xbe8261eb • コンピューターを再起動する 2025/09/25 Murachi Akira aka Hebikuzure 33

34. 手動許可例外の追加 • WebRTC など DNS では検知できない接続先 IP アドレスで必要な ものを例外に追加する （追加された

    IP アドレスは送信接続が許可される） • netsh ztdns add exception name=AppName description="Description of AppName“ subnets=(Subnet address) 2025/09/25 Murachi Akira aka Hebikuzure 34 !! これを含み、以下のコマンドはすべて管理者権限で実行します !! 折り返されているコマンドは実際には１行で入力します

35. PDNS サーバーの指定 • DoH / DoT対応の DNS サーバーを指定する • DoT

    の場合 netsh ztdns add server type=dot address=2001:db8::1 hostname=dot.resolver.example • DoH の場合 netsh ztdns add server type=doh address=203.0.113.0 template=https://doh.resolver.example/dns-query 2025/09/25 Murachi Akira aka Hebikuzure 35

36. ZTDNSの有効化 • 監査モードの有効化 • netsh ztdns set state enable=yes audit=yes

    • 適用モードの有効化 • netsh ztdns set state enable=yes audit=no 2025/09/25 Murachi Akira aka Hebikuzure 36

37. ZTDNS の無効化 • 無効化する場合は以下のコマンドを実行 • netsh ztdns set state enable=no

    audit=no 2025/09/25 Murachi Akira aka Hebikuzure 37

38. ZTDNS 設定の確認 • 以下のコマンドで現在の設定が表示されます • netsh ztdns show help 2025/09/25

    Murachi Akira aka Hebikuzure 38

39. ZTDNS のイベントログ • [アプリケーションとサービスログ] -> [Microsoft] -> [Windows] - >

    [ZTDNS] • BlockedConnections：ブロックされた接続に関するログ • Operational：ZTDNS 設定とサービス状態の変更に関するログ • PermittedConnections：許可された接続に関するログ 2025/09/25 Murachi Akira aka Hebikuzure 39

40. Zero Trust DNS の課題 2025/09/25 Murachi Akira aka Hebikuzure 40

41. ファイル共有 • ローカル ネットワークの DNS サーバー（ex. Active Directory の DNS

    サーバー）を PDNS にしないと、ネットワーク ファイル共有にアク セスできない • ただし Windows Server の DNS サービスは DoH/DoT に未対応 • DNS リバースプロキシで DoH/DoT を終端する手は考えられる • mDNS もブロックされる • ファイル共有には OneDrive / SharePoint Online などのクラウド ストレージの方がゼロ トラストとの相性は良い 2025/09/25 Murachi Akira aka Hebikuzure 41

42. Web 会議の WebRTC • WebRTC の STUN と TURN は

    DNS を経由せず接続先 IP アド レスを取得する • 製品ごとの手動例外設定などが必要 2025/09/25 Murachi Akira aka Hebikuzure 42

43. Windows Update の配信の最適化 • 配信の最適化の P2P キャッシュ共有が機能しない • Windows Update

    サーバーへのトラフィックが増大する 2025/09/25 Murachi Akira aka Hebikuzure 43

44. UPnP・キャスト • ユニバーサル プラグ アンド プレイ（UPnP）は ZTDNS クライアントが 有効な Windows

    では機能しません。 • ワイヤレス ディスプレイやスピーカーへのキャストは ZTDNS クライアント が有効な Windows では機能しません。 2025/09/25 Murachi Akira aka Hebikuzure 44

45. キャプティブポータル • ZTDNS クライアントが有効な Windows では、キャプティブ ポータル への遷移が必要なネットワークで利用できません。 • キャプティブ

    ポータルはプレーンテキストの DNS クエリ インターセプトに 依存して動作するためです。 2025/09/25 Murachi Akira aka Hebikuzure 45

46. ブラウザー • 多くのブラウザーは独自の DNS クライアントを利用する ※ Chrome / Edge など

    • ZTDNS が有効な Windows では独自の DNS クライアントはサー バーに接続できない 2025/09/25 Murachi Akira aka Hebikuzure 46

47. Chrome / Edge の場合 • Chrome / Edge では BuiltInDnsClientEnabled

    ポリシーを構成 して独自 DNS クライアントの代わりにシステム DNS クライアントを利 用させることで ZTDNS 配下で動作する • Chrome Enterprise のポリシーリストと管理 | ドキュメント https://chromeenterprise.google/policies/#BuiltInDnsClientEn abled • Microsoft Edge Browser Policy Documentation | Microsoft Learn https://learn.microsoft.com/en-us/deployedge/microsoft- edge-policies#use-built-in-dns-client 2025/09/25 Murachi Akira aka Hebikuzure 47

48. 今後の見通し 2025/09/25 Murachi Akira aka Hebikuzure 48

49. リリース時期は？ • Windows Server の DNS サーバー機能が DoH/DoT 対応しない と、ローカル

    ネットワーク上では利用し難い • MDM などで管理するリモート デバイスに対しては、比較的早期に利 用が現実的になるかも • UPnP やキャストが利用できなくなるのは微妙 • キャプティブ ポータルが利用できないのも困る場合がありそう 2025/09/25 Murachi Akira aka Hebikuzure 49

50. 組織の管理者の対応 • Insider Preview を使って「監査モード」で検証を行う • DoH/DoT に対応可能な DNS サーバーは、早めに

    DoH/DoT に 対応させる 2025/09/25 Murachi Akira aka Hebikuzure 50

51. まとめ 2025/09/25 Murachi Akira aka Hebikuzure 51

52. Zero Trust DNS で より安全なインターネット アクセス • Zero Trust とは

    • Zero Trust Network • DNS のセキュリティ • Zero Trust DNS • Zero Trust DNS を試す • Zero Trust DNS の課題 • 今後の見通し 2025/09/25 Murachi Akira aka Hebikuzure 52

53. 2025/09/25 Murachi Akira aka Hebikuzure 53 ありがとうございました