Last Updated on 2024-07-03 08:22 by admin
Microsoftは、DNSを保護するための新しいプロトコル、Zero-Trust DNS (ZTDNS) の開発に取り組んでいる。このプロトコルは、Windows DNSエンジンをWindows Filtering Platform(Windows Firewallの核心コンポーネント)と直接統合することで、長年の問題を解決することを目指している。この統合により、ドメイン名ごとにWindows Firewallの更新を可能にし、組織がクライアントに対して「TLSを使用し、特定のドメインのみを解決するDNSサーバーのみを使用する」と指示できるようになる。Microsoftは、このDNSサーバーを「保護DNSサーバー」と呼んでいる。デフォルトでは、ファイアウォールは許可リストに記載されているドメイン以外への解決を拒否する。別の許可リストには、承認されたソフトウェアの実行に必要なIPアドレスサブネットが含まれる。このシステムを組織内で迅速に変化するニーズに対応できるようにすることが重要である。ネットワークセキュリティ専門家のRoyce Williamsは、これをファイアウォール層の双方向APIと呼んでおり、ファイアウォールへの入力によってファイアウォールアクションをトリガーするとともに、ファイアウォールの状態に基づいて外部アクションをトリガーできると述べている。
【ニュース解説】
MicrosoftがDNSのセキュリティ強化に向けて、Zero-Trust DNS (ZTDNS) という新しいプロトコルの開発に取り組んでいます。このプロトコルは、WindowsのDNSエンジンとWindows Filtering Platform(Windows Firewallの中核コンポーネント)を直接統合することで、DNSに関する長年の問題に対処することを目指しています。
この統合により、ドメイン名ごとにWindows Firewallの更新が可能になり、組織はクライアントに対して、TLSを使用し、特定のドメインのみを解決するDNSサーバーのみを使用するよう指示できるようになります。Microsoftは、このようなDNSサーバーを「保護DNSサーバー」と呼んでおり、デフォルト設定では、ファイアウォールは許可リストに記載されているドメイン以外の解決を拒否します。また、承認されたソフトウェアの実行に必要なIPアドレスサブネットを含む別の許可リストも設けられます。
このシステムの鍵となるのは、組織内で迅速に変化するニーズに対応できるようにすることです。ネットワークセキュリティの専門家であるRoyce Williamsは、このシステムをファイアウォール層の双方向APIと表現しており、ファイアウォールへの入力によってファイアウォールアクションをトリガーすると同時に、ファイアウォールの状態に基づいて外部アクションをトリガーできると述べています。
この技術により、組織はセキュリティを大幅に強化できるようになります。特に、DNSを介した攻撃やデータ漏洩のリスクを低減できるため、企業や機関の情報セキュリティ管理において重要な役割を果たすことが期待されます。しかし、このような強力な制御手段は、誤った設定が行われた場合に正当な通信を妨げる可能性もあるため、適切な管理と監視が必要です。
また、この技術の導入は、セキュリティソフトウェアベンダーやネットワーク管理ツールの開発者にとっても、新たな機能やサービスの提供機会を生み出す可能性があります。一方で、規制や標準化の観点からは、このような新技術の普及に伴い、業界全体での合意形成や規格の策定が求められることになるでしょう。
長期的には、ZTDNSのような技術が広く採用されることで、インターネット全体のセキュリティレベルが向上し、サイバー攻撃のリスクが低減されることが期待されます。しかし、その過程で、技術的な課題やプライバシーに関する懸念など、さまざまな問題に対処する必要があることも忘れてはなりません。
from Zero-Trust DNS.
