NSAが社内ネットワークでのDoHの利用に警告

今回は「NSAが社内ネットワークでのDoHの利用に警告」についてご紹介します。

関連ワード（セキュリティ等）についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　米国家安全保障局（NSA）は米国時間1月14日、「DNS-over-HTTPS」（DoH）などをはじめとするDNSプロトコルの暗号化が持つメリットとリスクを説明するアドバイザリーを公開した。DoHはこの2年ほどでかなり普及している。

　NSAは、DoHなどの技術を利用すれば、ユーザーのDNSクエリーを暗号化することでその内容をネットワークを監視している攻撃者から隠すことができるものの、社内ネットワークの内部で使用する場合にはデメリットもあると警告している。

　NSAは、同日公開したセキュリティアドバイザリーで「DoHは万能薬ではない」と述べ、DoHの使用は、企業に偽りの安心感を与えてしまうと主張している。

　NSAによれば、DoHを使用しても攻撃者がユーザーのトラフィックを完全に見られなくなるわけではない上に、ネットワークの内部で使用した場合、従来の（平文の）DNSトラフィックを調べることで脅威を検知している多くのセキュリティツールの働きを阻害する可能性があるという。

　また、今日のDoHを使用可能なDNSサーバーの多くは、社内ネットワークの外部にホストされているため、企業の制御下にはなく監査を行うこともできない。

　NSAは企業に対して、社内ネットワークでは暗号化されたDNSを使用するのを避けるか、DoHを使用可能なDNSサーバーを使用する場合には、少なくとも社内でホストし、自社の制御下に置くべきだと述べている。

　さらにこのアドバイスは、DoHを使用可能なDNSサーバーだけでなく、従来のDNSサーバーにも当てはまるという。

　「企業ネットワークのDNSトラフィックは、暗号化されているかどうかに関わらず、指定されたDNSリゾルバーだけに送信するようにすることを勧める」とNSAは述べている。

　「これによって、エンタープライズセキュリティの重要な制御手段を適切に使用することができ、ローカルネットワークのリソースへのアクセスを促進し、ネットワーク内の情報の保護につなげることができる」（NSA）

　「他の全てのDNSサーバーは無効化するか、ブロックすべきだ」（同）

　NSAのアドバイザリーが公開される前には、イランの攻撃者が、DoHを悪用してハッキングされたネットワークから検知されずにデータを抜き出していた事例が見つかっている。

　また、GitHubで入手できる無料のツールを使えば、簡単に暗号化されたDoH接続を乗っ取って盗んだデータを秘密裏に送信し、従来のDNSを利用したセキュリティ対策を迂回することができる。

セキュリティとは – IT用語辞典 e-Words

セキュリティ【security】とは、安全、防犯、保安、防衛、防護、治安、安心、安全保障などの意味を持つ英単語。盗難や破壊など人為的な攻撃からの保護を意味し、事故や災害など人の意志によらない危険や脅威からの安全を表す “safety” (セーフティ)とは区別される。

https://e-words.jp/w/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3.html

セキュリティ – Wikipedia

セキュリティ（英: security ）は、人、住居、地域社会、国家、組織、資産などを対象とした、害からの保護。. 一般には保安のことであり、犯罪や事故などを防止するための警備全般を指す。. コンピュータ関連の文脈では、特にコンピュータセキュリティを単にセキュリティと呼ぶ場合がある。. 金融業界では、出資を募る団体を損害から保護 …

https://ja.wikipedia.org/wiki/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3