パブリックDNSリゾルバの選択:プライバシー、パフォーマンス、およびセキュリティのトレードオフ

パブリックDNSリゾルバの選択:プライバシー、パフォーマンス、およびセキュリティのトレードオフ

DNSリゾルバの選択は、プライバシー、速度、およびセキュリティのバランスを取ることです。多くのユーザーはデフォルトのISP設定に依存していますが、パブリックリゾルバに切り替えることで、マルウェアのブロック、広告フィルタリング、およびローカルネットワークの監視からのプライバシー向上を提供できます。

主要なDNSリゾルバのカテゴリと推奨事項

主な目的によって、特定のニーズに適した異なるリゾルバが推奨されます。29のグローバルプロバイダーの比較に基づき、以下のカテゴリが挙げられます。

プライバシー重視およびログなしリゾルバ

匿名性と最小限のデータ保持を優先するユーザーには、厳格なログなしポリシーとプライバシーに配慮した地域の管轄区域を持つリゾルバが好ましいです。

  • DNS.SB: ドイツ(EU)を拠点とし、厳格なログなしポリシーを持つプライバシー重視のリゾルバ。
  • Mullvad DNS: スウェーデン(EU)を拠点とし、ログなしポリシーと様々なフィルタリングオプション(adblock, malware)を提供。
  • UncensoredDNS: デンマーク(EU)を拠点とする、コミュニティ運営の暗号化専用リゾルバで、検閲防止に焦点を当てている。
  • Wikimedia DNS: ログなしポリシーを持つグローバルな非営利リゾルバ。

セキュリティとマルウェアのブロック

これらのリゾルバは、脅威インテリジェンスを統合して、既知の悪意のあるドメインをデフォルトでブロックします。

  • Quad9 (9.9.9.9): マルウェアやフィッシングをデフォルトでブロックするスイスの非営利団体。 高セキュリティ、プライバシー尊重の選択肢として広く認識されている。
  • Cloudflare (1.1.1.1): マルウェアのブロック用に特定のバリアント(1.1.1.2)と、マルウェアおよび成人向けコンテンツの両方をブロックする(1.1.1.3)を提供。
  • DNS4EU: マルウェアやフィッシングに対する保護フィルタリングを提供するEU基金によるプロジェクト。

高度にカスタマイズ可能なフィルタリング

ブロック対象(広告、トラッカー、ソーシャルメディア)を細かく制御する必要があるユーザーには、アカウントベースのサービスが最も効果的です。

  • NextDNS: 高度に設定可能で、ユーザーが独自のブロックリストとログ設定を選択できる。
  • Control D: 無料のフィルタリングプロファイルと、完全にカスタマイズ可能なリゾルバを提供。
  • AdGuard DNS: 広告やトラッカーのデフォルトブロックに加え、ファミリー向けバリアントも提供。

DNSトランスポートにおける技術的なトレードオフ

リゾルバの選択は戦いの半分に過ぎません。トランスポートプロトコルによって、クエリがどのように送信され、傍受が可能かどうが決定されます。

暗号化DNS (DoH, DoT, DoQ)

暗号化DNSは、ローカルネットワークの監視者(ISPや公共Wi-Fiの管理者など)がクエリを見ることができないようにします。しかし、暗号化はリゾルバ自体からあなたの活動を隠すことはできません。

  • DNS-over-HTTPS (DoH): 幅広くサポートされており、通常のHTTPSトラフィックに紛れ込ませることができる。
  • DNS-over-TLS (DoT): DoHよりも高速な場合が多いが、ネットワーク管理者がブロックしやすいため、制限がある。
  • DNS-over-QUIC (DoQ): 最新かつ最速の暗号化トランスポートであり、ハンドシェイクのレイテンシを低減する。Quad9, AdGuard, NextDNSなどのプロバイダーによってサポートされている。
  • DNSCrypt: 証明書認証局(CA)への依存を避けるため、事前共有公開鍵を使用する古い代替手段。

DNSSECの役割

DNSSEC (Domain Name System Security Extensions) の検証は、DNSスプーフィングやキャッシュポイズニングを防ぐために不可欠です。ユーザーは、受け取る回答の整合性を確保するために、DNSSECを検証するリゾルバを優先すべきです。

EDNS Client Subnet (ECS) とパフォーマンス

ECSは、ユーザーのIPアドレスの一部をDNSサーバーに送信します。これにより、コンテンツデリバリネットワーク (CDN) がユーザーを最も近いサーバーへルーティングできることが可能になります。

  • トレードオフ: ECSを有効にすると、地理的ルーティングの最適化によりストリーミングやダウンロードの速度が向上しますが、リゾルバのパートナーとIP断片を共有するため、プライバシーが低下します。
  • プライバシー重視のリゾルバ (CloudflareやQuad9のような) は、通常、ユーザーのアイデンティティを保護するためにECSをデフォルトで無効にしています。

専門家の洞察と代替アプローチ

コミュニティの議論では、高度なユーザーにとって、パブリックリゾルバは最善の選択ではない可能性があることが強調されています。

自前でのリゾルバのホスティング

多くの技術的なユーザーは、単一のパブリックプロバイダーへの信頼をを解消するために、ローカルの再帰的リゾルバを運用することを提案しています。

"The nearest resolver is $ sudo apt-get install unbound and now your own host is your resolver."

Unbound, AdGuard Home, または dnsmasq のようなツールを使用することで、ユーザーは独自のログを維持し、独自のブロックリストを実装し、小規模なコミュニティ運営サービスに伴う「バス・ファクター」を割ることことができます。

公共Wi-Fiのジレンマ

ユーザーは、カスタムDNSを使用する際に公共Wi-Fiで大きな摩擦が生じる点に注意しています。多くのキャプティブポータル(「利用規約に同意する」画面)が、ログインページへリダイレクトするためにはISPのDNSを使用することを要求します。カスタムDNSをハードコードすると、このプロセスが機能しなくなり、ユーザーは認証を行うために手動でISPのDNSに戻す必要があるため、

管轄区域とデータガバナンス

管轄区域は重要な要因です。特定の国家規制の下で運用されているリゾルバ(例:中国やロシア)のものは、データ保持に関するローディカルな法律に従うことになり、パフォーマンスのメリットに対して重く考慮すべきです。

Sources