フォーム読み込み中
Alibaba Cloud DNSファイアウォールサービスについて
クラウドエンジニア
伊藤 寛晃
システム監視を3年間担当していました。
2025年よりクラウドエンジニアとしてAlibaba Cloudのプロダクトに関するテクニカルサポート業務に従事してます。
2025年9月4日掲載
ご覧いただきありがとうございます。クラウドエンジニアの伊藤です。
本記事では、Alibaba Cloudが2025年6月にリリースしたDNSファイアウォール機能について解説します。従来の高速・安定した名前解決サービスに、リアルタイムのセキュリティ防御機能が加わったことで、名前解決の段階で不正なアクセスを即座に遮断できます。
近年、フィッシングやマルウェアのC&C(コマンド&コントロール)通信、さらにはDNSトンネリングを利用したデータ漏洩といった攻撃が増加しています。これらは従来のファイアウォールやIDS/IPSでは検知が難しく、DNSレイヤーでの防御が重要視されるようになっています。Alibaba Cloud DNSファイアウォールは、この課題に対応する新しいセキュリティ技術です。
1章:アップデート概要
Alibaba Cloudは、DNSサービスにおいて悪意あるドメインのブロック機能を追加しました。これにより、名前解決の段階で脅威インテリジェンスデータベースと照合し、フィッシングサイトやトロイの木馬用ドメインなどへのアクセスを即座に遮断できます。
また、マネージドのDNSでなくハイブリッドクラウドやオンプレミス環境でも「DNSファイアウォール(ソフトウェア版)」が利用可能であり、DNSレイヤーでのセキュリティの確保を低レイテンシーで得ることができます。
2章:DNSとDNSファイアウォールについて
DNS(Domain Name System)について
DNSは、インターネット上でドメイン名とIPアドレスを相互変換する仕組みです。
人間にとって覚えやすい「www.example.com」のような名前を、コンピュータが使う数値アドレス(IPアドレス)に変換します。DNSには大きく分けて2つの役割があります
| 種類 | 説明 | 例 |
|---|---|---|
| 権威DNS(Authoritative DNS) | ドメインの「正しい住所録」を持つサーバーで、ドメイン所有者や管理者が設定したレコードを保持し、その情報を応答する | example.comで設定したレコードを持つサーバ |
| 再帰DNS(Recursive DNS) | ユーザーが最初に問い合わせるサーバーで、キャッシュになければDNSサーバに問い合わせて最終的なIPアドレスを取得する | Google Public DNS (8.8.8.8)、Alibaba Cloud Public DNS (223.5.5.5) |
DNSの弱点とセキュリティ課題
DNSはインターネット通信の基盤である一方、以下のような攻撃に悪用されやすいという弱点があります。
- フィッシングサイトへの誘導:偽ドメインを使ってユーザーを騙す
- マルウェアのC&C通信:感染端末が攻撃者のサーバーと通信するためにDNSを利用
- DNSトンネリング:DNSを経由して密かにデータを外部へ送信
これらは従来のファイアウォールやIDS/IPSでは検知が難しいケースが多く、DNSレイヤーでの防御が重要視されています。
DNSファイアウォールの役割とメリット
DNSファイアウォールは、DNSによる名前解決の段階で「不審なドメイン」へのアクセスを遮断する仕組みです。
具体的には、DNSクエリを脅威インテリジェンスデータベースと照合し、既知の悪性ドメインであればIPアドレスを返さず通信をブロックします。
導入することで以下のメリットが得られます:
- 利用者がフィッシングサイトのURLをクリックしても、DNS段階で解決されず接続を防止
- マルウェア感染端末が外部C&Cサーバーに通信するのを遮断
- 社内ネットワークからの不審な外部通信やデータ漏洩を早期に検知・防御
今回紹介するDNSファイアウォール機能は、権威DNS(自社がホストするドメインを守る)と再帰DNS(ユーザーやクライアントを守る)の両方に分類でき、さらにオンプレやハイブリッド環境向けにソフトウェア版DNSファイアウォールも提供される点が特徴です。
3章:アップデートの詳細
アップデート前のAlibaba Cloud DNSは、マネージドDNSとして高速かつ安定した名前解決を提供していました。しかし、セキュリティ面については標準機能では十分ではなく、利用者自身が追加の設定を行ったり、外部のセキュリティソリューションに依存する必要がありました。
また、無料で提供されていた再帰DNSも、基本的な名前解決の機能は備えていたものの、セキュリティ機能は限定的で、悪意あるドメインへのアクセスを完全に防止することは困難でした。
今回新たに追加されたDNSファイアウォールですが、アップデートの詳細を以下に記載します。
- 脅威インテリジェンスデータベースとのリアルタイム照合
DNSクエリを解析し、既知の悪意あるIP アドレスと一致した場合、その場で解決をブロック - マルウェア通信やデータ漏洩の遮断
ドメインベースの検知・遮断により、一部の不正外部通信やデータ流出経路をDNSレイヤーで抑止可能 - DDoS攻撃への耐性強化
大量の不正クエリや分散型DoS攻撃に対して、自動的にトラフィックを吸収・緩和しサービスを継続的に保護可能 - ログ・可視化機能の強化
ブロックリクエストや攻撃種別をダッシュボードで確認可能。権威DNS側ではDNSトラフィック分析(ログ90日保存)も強化。
利用形態ごとの適用範囲
| 利用形態 | 適用対象 | 特徴 |
|---|---|---|
| 権威DNS | Alibaba Cloud マネージドDNS | 攻撃者による不正利用を防止。クエリ数に応じて2種類のファイアウォールを追加可能。 |
| 再帰DNS | 名前解決を利用するクライアント | 悪性ドメインへのアクセスを即時ブロック。 |
| ソフトウェア版DNSファイアウォール | オンプレミス/ハイブリッドクラウド構成環境 | 社内DNSとして導入し、内部から外部への全クエリを監視・ブロック。独自ポリシーも適用可能。 |
利用料金
権威DNSと再帰DNS、またソフトウェア版DNSファイアウォールの料金や課金方式の仕組みをまとめました。料金に関しては変更の可能性があるため、ご利用の際は最新の公式料金ページを確認してください。また2025年10月30日より再帰DNSは新しい利用料金となります。詳しくは公式アナウンスをご確認ください。
- 権威DNS
- Basic Protection:年額86ドル(最大1,000万クエリ/秒の攻撃を防御)
- Full Protection:年額429ドル(最大1億クエリ/秒の攻撃を防御)
- 再帰DNS
- 課金方式:従量課金
- 課金基準:HTTP換算で計算
- HTTPS(DoH/DoT) = HTTP ×5
- UDP/TCP = HTTP ×0.5
- 単価:無料枠(HTTP1000万回/月)超過分は USD 0.0062 / 10,000回
- ソフトウェア版DNSファイアウォール
- 利用規模や導入形態により個別見積り
注意事項
- 利用者が独自管理するブロックリストも併用可能だが、誤検知による通信遮断の可能性があるため慎重な運用が必要
- 脅威データベースは継続的に更新されるが、全てのゼロデイ攻撃を完全に防げるわけではない
4章:まとめ
今回のアップデートにより、Alibaba Cloud DNSは単なる名前解決サービスから、強力なDNSレベルのセキュリティゲートウェイへと進化しました。
特に、ゼロデイ攻撃や未知の脅威に対しても、既知脅威との照合とリアルタイムブロックにより被害を最小化できる点は大きな魅力です。
オンプレやハイブリッド環境でも利用可能なため、クラウドとローカルの双方で統一的なDNSセキュリティポリシーを運用したい企業にとって有用な機能です。
関連サービス
Alibaba Cloudは中国国内でのクラウド利用はもちろん、日本-中国間のネットワークの不安定さの解消、中国サイバーセキュリティ法への対策など、中国進出に際する課題を解消できるパブリッククラウドサービスです。
MSP(Managed Service Provider)サービスは、お客さまのパブリッククラウドの導入から運用までをトータルでご提供するマネージドサービスです。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
