【Netskope】DNSセキュリティについて整理した件

» Netskope » 技術
sobar sobar

はじめに

こんにちは、 ネクストモード株式会社 の sobar です。

今回は、Netskopeの「DNSセキュリティ」について、概要とできることを整理します。

DNSは業務で常に使われる基盤である一方、攻撃者にとっても悪用しやすい経路です。そのため、DNSレイヤーでの防御を強化しておくと、フィッシングやマルウェア感染のリスク低減につながります。

本記事では「DNSセキュリティとは何か」「どんな場面で効くのか」「導入時に気を付けたいポイント」を順番に解説します。

DNSセキュリティとは?

DNSセキュリティは、端末やユーザーがアクセスしようとするドメイン名(DNSクエリ)を起点に、危険な通信をブロックしたり、可視化したりするセキュリティ対策です。

DNSセキュリティ イメージ
(DNSセキュリティ イメージ)

代表的には、悪性ドメイン(マルウェア配布、C2、フィッシング等)への名前解決を防いだり、リスクの高いカテゴリへのアクセスを制御したりします。Webセキュリティ(SWG)やZTNAと組み合わせることで、ユーザーがどこにいても一定のポリシーで保護できる点がメリットです。

Netskopeの場合は、クラウド型のセキュリティ基盤(Netskope One)の一部としてDNSの制御・ログ取得を行います。Webセキュリティ(SWG)やCASBだけでなく、FWaaS(Firewall as a Service)と連携して非Web通信も含めた包括的な制御が可能なため、運用しやすい構成を取れるのが大きな強みです。

Skope IT > Alerts > DNSセキュリティブロックイベント イメージ
(Skope IT > Alerts > DNSセキュリティブロックイベント イメージ)

「URLの前段であるドメイン名の段階で、危ない行き先を止める」仕組みだと考えると分かりやすいかと思います。

DNS Securityを利用するためのライセンス要件

NetskopeのDNS Security機能を利用するためには、前提として以下の2つの要件を満たすライセンスが必要です。

  • Cloud Firewall ライセンス
  • DNS Security ライセンス

Netskopeのアーキテクチャ上、DNS セキュリティは「Cloud Firewall(FWaaS)」機能の一部として設計されています。一般的な次世代SWGはHTTP/HTTPS(Webトラフィック)を対象としますが、DNSプロトコルは非Web通信であるため、それを根底で制御・可視化するためのCloud Firewallの基盤が不可欠になるといったかたちとなります。ご検討の際は弊社までお気軽にお問い合わせください。 

ユースケースについて

DNSセキュリティが効きやすいユースケースを、実務でよくあるシーンに沿って整理します。

  • フィッシング対策
    • メールやチャットのリンク先がフィッシングサイトだった場合でも、悪性ドメインとして判定できればアクセス前にブロックできます。
    • 画面遷移前に止められるため、ユーザー教育だけに依存しない対策になります。
  • マルウェア感染後の通信(C2)抑止
    • 端末が感染してしまった場合でも、外部のC2サーバーへ名前解決できなければ通信を成立させにくくなります。
    • 特に、マルウェアがランダムに生成するドメイン(DGA:ドメイン生成アルゴリズム)への通信を検知・ブロックできるため、早期の封じ込めや被害の拡大防止に寄与します。
  • 不審なカテゴリ/新規ドメインへのアクセス制御
    • 新規登録直後のドメイン(NRD)など、信頼性が定まらない宛先を制限する運用も有効です。
    • さらに、DNSプロトコルを悪用してデータを外部に持ち出す「DNSトンネリング攻撃」を検知し、情報漏洩を防ぐ用途にも効果を発揮します

DNS Profile イメージ
(DNS Profile イメージ)

  • 端末が社外にあるときの一貫した保護
    • VPN前提ではなく、リモートワークやモバイル利用でも同じポリシーを適用できるため運用が安定します。
    • Netskopeクライアント等と組み合わせて「どこからでも同じ基準で守る」設計にしやすいです。

導入時の注意点について

DNSセキュリティは導入しやすい反面、設計を雑にすると「止め過ぎ」や「見えない抜け道」が起きやすいです。以下の観点を事前に押さえておくと、スムーズに立ち上げられます。

  • ポリシーの作り方(ブロック対象の決め方)

    • いきなり厳しくすると業務影響が出やすいので、状況に応じて最初は「モニタ(ログのみ)→段階的にブロック」がおすすめです。

    • 例外(許可リスト)を誰がどう管理するかも、運用ルールとして決めておきます。

  • DNSの経路と“抜け道”の把握

    • 端末が社内DNS、パブリックDNS、DoH (DNS over HTTPS)など複数経路を使うと、意図した制御が効かないことがあります。

    • どの経路を許可し、どれを禁止・制御するのかをネットワーク/端末設定と合わせて設計します。例えば、ブラウザでのDoH利用をSWG側でブロックし、Netskope Clientに標準DNSの監視を強制することで、可視性の抜け漏れを防ぐ運用がNetskopeのベストプラクティスです。

  • グの見方とインシデント対応の流れ

    • のユーザーが、いつ、どのドメインを引こうとして止まったか」を追える状態にしておくと、調査が早くなります。

    • SIEM連携やアラート条件(高リスクカテゴリ、急増、繰り返しブロック等)も、運用開始前に最低限決めておくと安心です。

  • 既存のWebセキュリティとの役割分担

    • DNSで止めるのか、SWGで止めるのか、EDRで検知するのかを整理しておくと、重複や抜け漏れを減らせます。

    • DNSは「入口で広く止める」、SWGは「Webアクセスの詳細制御」、EDRは「端末側の挙動検知」といった役割分担を意識します。

参考

さいごに

DNSセキュリティは、ユーザーがアクセスしようとする「行き先」を早い段階で評価し、危険な通信を未然に防ぐための有効な手段です。特にリモートワークが前提の環境では、場所に依存せず一貫したポリシーを適用できる点が大きなメリットになります。

一方で、DNS経路の設計やポリシー運用を整えておかないと、期待した効果が出にくくなります。
まずはログの可視化から始め、段階的にブロックを強めながら、業務影響とセキュリティ効果のバランスを取っていくのがおすすめです。

この記事が、皆さまのNetskope運用の一助となれば幸いです。

Netskope についてのお問い合わせ

ネクストモードでは、Netskopeをはじめ、CrowdStrikeやOktaを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください!

SaaSバナー_Netskope