【Windows】「DNS over HTTPS(DoH)」を有効にして名前解決を暗号化・保護する設定手順

ビジネスシーンでインターネットを利用する際、通信のプライバシー保護は重要です。従来のDNS名前解決は暗号化されておらず、通信内容が第三者に傍受されるリスクがありました。

DNS over HTTPS DoHを有効にすることで、DNSクエリの盗聴や改ざんを防ぎ、セキュリティを強化できます。

この記事では、Windows 11およびWindows 10でDoHを有効にし、安全な名前解決を実現する具体的な手順を解説します。

DNS over HTTPS(DoH)とは?その仕組みとメリット

DNS over HTTPS DoHは、DNS名前解決のセキュリティとプライバシーを向上させるプロトコルです。従来のDNSクエリは暗号化されずに送信されるため、通信経路上の第三者による盗聴や改ざんのリスクがありました。

DoHでは、DNSクエリを通常のWebブラウジングで使われるHTTPS通信で暗号化します。これにより、DNSの通信内容が保護され、機密性が高まります。

従来のDNSとの違い

従来のDNS通信はUDPポート53を使用し、平文でデータが送られます。そのため、通信内容が容易に傍受され、どのウェブサイトにアクセスしようとしているかを知られてしまう可能性があります。

また、DNS応答が改ざんされることで、意図しない悪意のあるサイトへ誘導される「DNSスプーフィング」のリスクも存在します。

DoHのメリット

DoHを利用する最大のメリットは、DNSクエリのプライバシー保護です。HTTPSで暗号化されるため、インターネットサービスプロバイダー ISPやその他の第三者が、ユーザーのDNSクエリを監視することが困難になります。

中間者攻撃によるDNS応答の改ざんも防ぎ、より安全なウェブアクセスを実現します。さらに、特定の国や地域でのDNSベースの検閲を回避できる可能性もあります。

Windows 11では、設定アプリから容易にDoHを有効にできるため、手軽にセキュリティを強化できます。

Windows 11でDNS over HTTPS(DoH)を有効にする手順

Windows 11でDoHを有効にするには、設定アプリからネットワークアダプターのDNS設定を変更します。ここでは、Wi-Fi接続とイーサネット接続の両方で設定可能です。

設定アプリからの有効化

1. 設定アプリを開く
   スタートメニューから「設定」を選択するか、WindowsキーとIキーを同時に押して設定アプリを開きます。
2. ネットワークとインターネットの項目へ進む
   左側のナビゲーションメニューで「ネットワークとインターネット」をクリックします。
3. 接続の種類を選択する
   Wi-Fi接続の場合は「Wi-Fi」を、有線LAN接続の場合は「イーサネット」をクリックします。
4. ネットワークアダプターのプロパティを開く
   Wi-Fiの場合は、現在接続しているネットワーク名をクリックします。イーサネットの場合は、「イーサネット」の画面でアダプター名をクリックします。
5. DNSサーバーの割り当てを編集する
   「DNSサーバーの割り当て」の項目を見つけ、「編集」ボタンをクリックします。
6. DNS設定を自動から手動に変更する
   「DNS設定の編集」ウィンドウで、プルダウンメニューから「手動」を選択し、「IPv4」または「IPv6」のトグルをオンにします。
7. DNSサーバーアドレスを入力する
   「優先DNS」と「代替DNS」の欄に、使用したいDoHプロバイダーのDNSサーバーアドレスを入力します。例えば、Cloudflare Public DNSの場合は「1.1.1.1」と「1.0.0.1」、Google Public DNSの場合は「8.8.8.8」と「8.8.4.4」を入力します。
8. DNS over HTTPSを有効にする
   入力したDNSサーバーアドレスの下にある「優先DNS暗号化」と「代替DNS暗号化」のプルダウンメニューから「暗号化のみ DoH」または「暗号化済み 優先 DoH」を選択します。「暗号化のみ DoH」はDoHを必須とし、DoHが利用できない場合は名前解決に失敗します。「暗号化済み 優先 DoH」はDoHを優先しますが、利用できない場合は通常の暗号化されていないDNSにフォールバックします。
9. 設定を保存する
   「保存」ボタンをクリックして、設定を適用します。

コマンドプロンプトまたはPowerShellで設定を確認する手順

設定が正しく適用されたかを確認するには、コマンドプロンプトまたはPowerShellを使用します。

1. コマンドプロンプトまたはPowerShellを管理者として開く
   スタートメニューの検索バーに「cmd」または「powershell」と入力し、検索結果の「コマンドプロンプト」または「Windows PowerShell」を右クリックして、「管理者として実行」を選択します。
2. DNSサーバー設定を確認する
   以下のコマンドを入力してEnterキーを押します。
   ipconfig /all
   表示されるネットワークアダプター情報の中で、「DNSサーバー」の項目に設定したDoHプロバイダーのIPアドレスが表示されていることを確認します。
3. DoHの状態を確認する
   以下のコマンドを入力してEnterキーを押します。
   netsh dnsclient show state
   このコマンドの出力で、「名前解決の暗号化」または類似の項目が「有効」になっていること、および設定したDoHプロバイダーが表示されていることを確認します。

DNS over HTTPS(DoH)設定時の注意点と制限事項

DoHの設定はセキュリティ向上に役立ちますが、いくつかの注意点があります。これらを理解して、適切な運用を心がけましょう。

互換性の問題と古いOSでの対応

Windows 11ではDoHのネイティブサポートが強化され、設定アプリから簡単に有効にできます。しかし、Windows 10ではバージョン20H2以降でサポートされており、それ以前のバージョンではDoHをネイティブに利用できません。

古いWindows 10を利用している場合は、サードパーティ製のDoHクライアントソフトウェアを利用するか、OSのアップデートを検討してください。企業環境では、グループポリシーでDoH設定を強制または制限している場合もあります。

プロバイダーの選択とパフォーマンスへの影響

DoHプロバイダーは多数存在し、それぞれに特徴があります。代表的なプロバイダーにはCloudflare Public DNS 1.1.1.1、Google Public DNS 8.8.8.8、Quad9 9.9.9.9などがあります。

プロバイダーによって名前解決の速度やログポリシーが異なるため、自身のニーズに合った信頼できるプロバイダーを選択することが重要です。選択するプロバイダーによっては、名前解決のパフォーマンスにわずかな影響が出る可能性も考慮に入れてください。

企業ネットワーク環境での制約

企業や組織のネットワーク環境では、DoHの利用が制限される場合があります。多くの企業では、内部DNSサーバーを使用してActive Directoryや社内リソースの名前解決を行っています。

DoHを有効にすると、これらの内部DNS解決が機能しなくなる可能性があります。企業ネットワークに接続している場合は、事前に情報システム部門やネットワーク管理者に確認し、推奨される設定に従うことが賢明です。

Windows 11とWindows 10でのDoH設定の違い

Windows 11とWindows 10では、DNS over HTTPS DoHのサポート状況と設定方法にいくつかの違いがあります。

項目	Windows 11	Windows 10
DoHのネイティブサポート	標準で完全にサポート	バージョン20H2以降でサポート
設定方法	設定アプリから直感的に設定可能	設定アプリから設定可能、古いバージョンではレジストリやグループポリシーが必要な場合がある
ユーザーインターフェース	より洗練されたGUIで設定しやすい	Windows 11に比べて設定項目がわかりにくい場合がある
推奨バージョン	すべてのバージョンで利用を推奨	バージョン20H2以降へのアップデートを推奨

まとめ

この記事で解説した手順により、Windows 11およびWindows 10でDNS over HTTPS DoHを有効にできました。

これにより、DNS名前解決の通信が暗号化され、プライバシー保護とセキュリティが強化されます。

信頼できるDNSプロバイダーを選択し、定期的に設定を確認することで、より安全なインターネット環境を維持できます。

この設定は、特に公共のWi-Fiネットワークなど、セキュリティが懸念される環境での利用に役立ちます。