違法なWebサイトへのアクセスをブロックするサイトブロッキング。日本におけるサイトブロッキングは、「DNSブロッキング」と呼ばれる手法を念頭に置いて議論されている。ブロッキングにかかる手間とブロッキングの効果のバランスが良いと考えられるためだ。

 DNSブロッキングは、ISPが持つキャッシュDNSサーバーに設定する。

 ISPは、インターネットに接続する方法をユーザーに説明する際に、ISPが提供するキャッシュDNSサーバーを使う設定を紹介する。このため、多くのユーザーは、WebブラウザーにURLを入力したときの名前解決に、ISPが提供するキャッシュDNSサーバーを利用している。そこで、DNSブロッキングをISPのキャッシュDNSサーバーで実施するのだ。

ISPのDNSサーバーで名前解決を実施する
ISPのDNSサーバーで名前解決を実施する
[画像のクリックで拡大表示]

2種類の応答が存在

 DNSブロッキングは、違法なWebサイトの名前解決の問い合わせに対してIPアドレスを返さないよう、ISPがキャッシュDNSサーバーを設定する。その際のユーザーに対する応答には2種類ある。

DNSブロッキングの応答には2種類ある
DNSブロッキングの応答には2種類ある
[画像のクリックで拡大表示]

 1つは、「NXDOMAIN」という応答を返す方法だ。これは、そのドメイン名(正確には完全修飾ドメイン名)にはどんな型のレコードも存在しないことを意味する。NXDOMAINは本来、権威DNSサーバーがキャッシュDNSサーバーの問い合わせに対して、レコードが存在しないことを伝えるための応答である。

 この応答を受け取ったキャッシュDNSサーバーは、次の問い合わせからは権威DNSサーバーに問い合わせることなくユーザーにNXDOMAINを返すようになる。

 DNSブロッキングを実施する場合は、ISPのキャッシュDNSサーバーの管理者が、違法なWebサイトのリストをDNSサーバーソフトウエアに設定する。BINDなどのDNSサーバーソフトウエアは、登録したWebサイトの名前解決をしないよう設定する機能を備えている。

 これにより違法なWebサイトの名前解決の問い合わせがあると、権威DNSサーバーに問い合わせることなくユーザーにNXDOMAINを返す。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。