DNSとは何か？その仕組みと動作をわかりやすく解説

DNS（Domain Name System）は、インターネット上の「電話帳」のような役割を果たす仕組みです。電話番号の代わりに、コンピューター同士は192.168.1.1のようなIPアドレスと呼ばれる数値のアドレスを使って通信しています。

DNSがなければ、ウェブサイトやチャットフォーラム、メールアカウントといった各種ウェブサービスにアクセスすることはできません。なぜなら、ウェブブラウザはIPアドレスという「数値の言語」を理解しますが、私たちは通常のテキスト（ドメイン名）を使うためです。DNSサーバーは、その両者の間に入り、互いの言語を翻訳する役割を担っています。

ここでは、その仕組みと、DNSがなぜプライバシーにとって重要なのかをわかりやすく解説します。

簡単に言うとDNSとは

前述のとおり、私たちが入力するテキスト形式のウェブアドレスを、ブラウザはそのままでは理解できません。ブラウザが必要としているのは、そのアドレスに対応する数値情報、つまりIPアドレスです。

そこでDNSが仲介役として機能し、入力されたウェブアドレスをIPアドレスへと変換します。その結果、ブラウザはリクエストを正しく処理し、目的のウェブページを表示できるようになります。

視聴：DNSとは？（ExpressVPNによる動画解説）

[videoURL]https://www.youtube.com/watch?v=Xi6IU7UTzeU[/videoURL]

DNSはどのように機能するのか？ステップごとに解説

DNSは、ブラウザにウェブアドレスを入力してSearchやGoボタン（またはEnterキー）を押した瞬間に動作を開始します。DNSサーバーは非常に高速で、処理はミリ秒単位で完了します。

ここでは、ウェブリクエストを送信してからページが表示されるまでの流れを、わかりやすく整理します。

URLの入力からページが表示されるまで

ブラウザにウェブアドレスを入力し、Go／Send／Enterを押すと、その情報はDomain Name Systemへ送られます。DNSは4つの主要サーバー（詳細は後述）を使って、対象のウェブサイトに対応するIPアドレスを探します。これをDNSルックアップと呼びます。

ブラウザが必要としているのは、このIPアドレスです。この固有のアドレスによって、目的のコンテンツがインターネット上のどこにあるのかが特定されます。DNSは取得したIPアドレスをブラウザに返し、ブラウザは正しい接続先にアクセスします。その結果、ページが正常に読み込まれます。何らかの理由でページを取得できない場合は、エラーが表示されます。

では、IPアドレスを直接ブラウザに入力してDNSを使わずにアクセスすることはできるのでしょうか？技術的には可能ですが、通常はおすすめできません。理由は以下のとおりです。

• DNSのほうが簡単：www.expressvpn.comのようなドメイン名は、数字の羅列であるIPアドレスよりも覚えやすいからです。
• IPアドレスは変更されることがある：ウェブサイトはIPアドレスを更新することがありますが、DNSはその変更を自動的に処理します。IPアドレスを覚えても、すぐに無効になる可能性があります。
• 技術的な制約：現在のウェブサイトは共有ホスティングやHTTPSを利用している場合が多く、IPアドレスを直接入力するとTLS証明書の不一致が発生したり、正しいサイトを識別できなかったりして、エラーやセキュリティ警告が表示されることがあります。

関与する4つの主要なDNSサーバー

ブラウザから送られるDNSクエリは、4つの主要なサーバーによって受信・処理・解決されます。

再帰DNSリゾルバー

再帰DNSリゾルバー（DNSリカーサー、再帰サーバーとも呼ばれます）は、ブラウザからのDNSルックアップ要求を受け取り、処理を開始します。

これは、すべてのDNSレコードが保管されている大規模なデータバンクの受付のような存在です。あらゆるリクエストは、他の部門（サーバー）に回される前に、まずここを通過します。

また、多くの場合、このリゾルバーは単にリクエストを転送するだけでなく、DNSキャッシングと呼ばれる仕組みによって処理を簡略化することもあります。これについては後ほど説明します。

ルートネームサーバー

再帰DNSサーバーに必要な情報がキャッシュされていない場合、クエリはルートネームサーバーへ送られます。

ルートネームサーバーは、必要な情報を得るために次にどこへ問い合わせるべきかを示す重要な情報を保持しています。TLDサーバーの一覧を返し、クエリがTLDサーバーへ引き継がれることで処理が続行されます。

TLD（トップレベルドメイン）ネームサーバー

トップレベルドメインとは、通常ドットの後に続くウェブサイトアドレスの末尾部分を指します。例えば：

TLDネームサーバーは、.comや.orgなど同じドメイン拡張子を持つすべてのドメイン名の情報を管理しています。TLDは大きく「組織系」と「地域系」の2種類に分けられます。組織系の例には.com、.gov、.eduなどがあります。たとえば、.comのTLDネームサーバーには、.comで終わるすべてのウェブサイトに関する情報が含まれます。地域系TLDは、特定の地理的エリアに関連付けられています。

権威ネームサーバー

権威ネームサーバーは最終的な問い合わせ先です。他のサーバーと異なり、特定のドメイン名に紐づいています。そのため、そのドメインに関する正確な情報を保持し、必要に応じて更新しながら、IPアドレスを再帰サーバーへ正確に返すことができます。

再帰サーバーはここで取得したIPアドレスをブラウザに送り、ブラウザは入力されたウェブアドレスをインターネット上の正しい場所へと解決します。

DNSクエリの種類：再帰・反復・非再帰

再帰サーバーは、クライアント（ウェブブラウザ）に代わって他の3つのサーバーへ問い合わせを行います。クエリは、目的のDNS情報がどこに保存されているかによって分類されます。

• 再帰クエリ：クライアントと再帰サーバー間で行われる一連のやり取りを指します。再帰サーバーを経由したDNSクエリは、最終的に回答（目的のページが表示される）またはエラー（証明書の不一致、DNSレコードに該当名が存在しないなど）のいずれかで終了します。
• 反復クエリ：再帰サーバーが他の主要サーバーとやり取りを行い、ルートネームサーバーやTLDサーバーからの紹介、または権威サーバーからの最終回答を受け取ります。
• 非再帰クエリ：再帰サーバーがすでに回答の所在を把握している場合に行われるクエリです。必要なDNS情報がキャッシュされているときは、仲介サーバーへ問い合わせる必要がありません。

DNSキャッシング：ブラウザやデバイスがDNSを保存する仕組み

DNSキャッシングは、DNSクエリの結果をクライアントに近い場所（通常は再帰サーバー）に一時保存する仕組みです。これにより、同じサイトへ再アクセスする際に複数のサーバーを経由する必要がなくなり、処理負荷やCPUリソースの消費を抑えられます。

ただし注意点があります。キャッシュによって表示速度は向上しますが、常に最新の情報が表示されるとは限りません。たとえば、キャッシュが有効な状態でサブレディットを再度開くと、新しいコメントやアップボートが表示されないことがあります。その場合はページを再読み込みするか、キャッシュを削除するか、有効期限が切れるのを待つ必要があります。

キャッシュされたDNSデータはどこに保存されるのでしょうか。

キャッシングは再帰処理のあらゆる段階で行われます。ブラウザ、デバイス、ルーター、さらには問い合わせ先のDNSサーバーもDNS情報をキャッシュします（上図参照）。

ブラウザのDNSキャッシュ保存

一般的なインターネットブラウザは、最近アクセスしたウェブサイトのDNS情報をキャッシュとして保存します。これにより、同じページへ再アクセスする際に複数回の問い合わせを行う必要がなくなり、処理負荷を抑えることができます。

また、古い情報が表示され続ける心配もありません。キャッシュデータは一時的に保存されるだけで、保存期間が過ぎるとブラウザは自動的に最新のページを取得します。

主要ブラウザでキャッシュを確認するには、使用しているブラウザのアドレスバーに以下の内部アドレスを入力してください。

デバイスレベルのキャッシュ保存

多くの最新オペレーティングシステムには、DNSスタブリゾルバーと呼ばれる組み込みのDNS機能が備わっています。

このDNSサーバー自体は他のサーバーへ直接問い合わせを行うことはできませんが、ウェブブラウザなどのウェブクライアントから受け取ったリクエストをまとめて、再帰DNSサーバーへ転送します。その後、再帰DNSサーバーが必要な問い合わせをすべて実行します。

ここが重要なポイントです。

DNSルックアップが完了し、再帰サーバーが対象サイトのIPアドレスを取得すると、その情報はDNSスタブリゾルバーを経由してウェブクライアントへ返されます。このとき、スタブリゾルバーは取得した回答をキャッシュとして保存できます。

そのため、同じ情報を再度リクエストする場合でも、スタブリゾルバーは再帰サーバーに再問い合わせを行うことなく、直接ウェブクライアントに応答できます。

DNSアドレスとは？

DNSアドレスとは、前述のDNSルックアップを実行するためにデバイスが利用している再帰DNSサーバーのIPアドレスを指します。

多くのユーザーが意識するのは通常この再帰サーバーであり、多くの場合はISP（インターネットサービスプロバイダー）や勤務先によって管理されています。ただし、ウェブサイト名をIPアドレスに変換する過程に関与するDNSサーバーは、個人、政府、あるいは各種組織によって所有・管理・運用されていることもあります。代表的な公開再帰DNSサーバーとしては、Googleの8.8.8.8やCloudflareの1.1.1.1が挙げられます。

DNSのプライバシーとセキュリティ：知っておくべきポイント

DNSサーバーの仕組みを理解することは有益ですが、それ以上に重要なのは、DNSがインターネット上のプライバシーとセキュリティにどれほど深く関わっているかを知ることです。

DNSがISPやネットワーク管理者に見せてしまう情報

通常、DNSルックアップはISP（インターネットサービスプロバイダー）やネットワーク管理者を経由して処理されます。DNSサーバーがIPアドレスを取得すると、その情報もISPのサーバーを通じてブラウザへ返されます。この過程で、ISPには次のようなメタデータが知られる可能性があります。

• どのドメイン名を要求したか
• リクエストを行った正確な時刻
• あなたのIPアドレス（位置やデバイスの特定につながる情報）

この情報だけで、たとえHTTPSなどの暗号化を使用して通信内容自体が保護されている場合でも、あなたがそのウェブサイトに接続しようとしたことは推測可能です。それでも、DNSリクエストそのものが閲覧習慣を第三者に明らかにする可能性があります。

幸いなことに、ExpressVPNに接続している場合、DNSリクエストはISPではなく当社のサーバーが処理します。

さらに、ExpressVPNは通信を保護するため、ISPはDNSリクエストが行われたかどうかさえ把握できません。当社はDNSリクエストを記録せず、名前解決を行う際も、外部のDNSサーバーから見えるのは当社のサーバーアドレスのみです。

同一サーバーを利用するすべてのユーザーが同じDNSサーバーを共有しているため、リクエストは単一の発信元から送信され、他のユーザーのリクエストと混在します。仮にDNSトラフィックが監視されたとしても、特定のユーザーを特定することはできません。

DNSリークがオンラインの匿名性とセキュリティに与える影響

公開DNSサーバーは高いプライバシー性を備えているわけではありませんが、一般的には安全です。それでも、サイバー犯罪者がDNSサーバーを標的にすることで、プライバシーやセキュリティが侵害され、デバイスの動作が妨げられる可能性があります。

• DNSスプーフィング（キャッシュポイズニング）：リゾルバーのキャッシュに悪意あるDNSデータを注入し、誤ったIPアドレスを返させる攻撃です。これにより、フィッシングサイトへ誘導され、クレジットカード情報やログイン情報などの機密情報を入力させられたり、マルウェアをダウンロードさせられたりする可能性があります。
• DNSアンプ攻撃：DDoS攻撃の一種で、偽のDNSクエリをサーバーに送り、返信先を被害者のIPアドレスに設定します。その結果、大量の応答が被害者に送られ、システムが過負荷に陥り、停止やクラッシュを引き起こすことがあります。
• DNSハイジャック：DNSスプーフィングと同様に、正規のDNSクエリを誤ったサイトへ転送する攻撃です。ただし、キャッシュではなく実行中のクエリを改ざんする点が異なります。成功させるには、ルーターへの侵入やマルウェアのインストールが必要になる場合があります。
• 盗聴：DNSクエリはUDP上で平文送信されることが多く、技術的知識があれば傍受・解析が可能です。その結果、訪問サイトが特定され、オンラインでのプライバシーにリスクが生じる可能性があります。

DNS over HTTPS（DoH）とDNSSEC：何を保護するのか

幸いなことに、DNSルックアップのセキュリティを強化し、その正当性を継続的に保証するための対策があります。その代表例がDNS over HTTPSとDNSSECです。

DNS over HTTPS（DoH）

保護対象：DNSハイジャック、盗聴、スプーフィング攻撃。

通常のDNSトラフィックは暗号化されていないテキストとして送信されます。これにより通信は高速になりますが、その一方でDNSトラフィックは脅威アクターにさらされます。たとえ対象のウェブサイトがHTTPSを使用していても、そのサイトへのDNSクエリは平文のままです。

このセキュリティ上の隙間を埋めるのがDNS over HTTPS（DoH）です。DNSトラフィックは送信中に暗号化され、傍受されても読み取れなくなります。そのため、攻撃者がデータをコピーや改ざんしたり、悪意あるコードやリダイレクトを挿入したりすることはできません。

DNSSEC

保護対象：DNSリダイレクト、ハイジャック、スプーフィング、中間者攻撃。

DNSSEC（Domain Name System Security Extension）は、各DNSレコードが実行される前に、その正当性を証明する一意の署名を必要とします。つまり、ネームサーバー（通常は権威ネームサーバー）に特別な鍵が組み込まれ、ブラウザが返されたDNSレコードを受け入れる前にその正当性を確認できるようになります。

鍵の正当性が確認されると、ブラウザは意図したウェブサイトへ接続します。確認できない場合は、鍵が改ざんされているか存在しないと判断され、その接続はブロックされます。

DNSレコードには常に公開鍵と秘密鍵のペアが関連付けられています。秘密鍵は外部に共有されることはなく、レコードが保存されているDNSゾーン内にのみ保持されます。一方、公開鍵は対応する秘密鍵と同時に生成され、DNS再帰サーバーがDNSレコードの正当性を検証するために取得できます。

DNSSECの仕組みにより、DNSハイジャックやスプーフィングのような信頼性を悪用する攻撃に対する重要な防御手段となります。デジタル署名があることで、再帰サーバーは権威サーバーから返された応答を無条件に受け入れるのではなく、関連する公開鍵を用いてその正当性を検証したうえで処理します。

よくあるDNSの問題とその対処法

DNSサーバーは、ほぼフェイルセーフに近い設計になっています。その存在を意識せずに何年も過ごせるほど、ユーザーの操作を必要とせずバックグラウンドで確実に動作しています。
とはいえ、いくつかの一般的な問題が発生することもあります。

• DNS解決エラー：DNSサーバーがリクエストを解決できない場合に発生します。まずネットワーク接続を確認してください。それが原因でない場合は、ウェブサイト管理者またはドメインレジストラ側で問題が修正されるのを待つ必要があります。
• DNSキャッシュの問題：新しいページが公開されているにもかかわらず、古いバージョンが表示され続けることがあります。ブラウザの設定からキャッシュを削除する、ブラウザを再起動する、またはデバイスを再起動することで解決できます。
• DNS NXDOMAINエラー：アクセスしようとしているウェブサイトが存在しないことを示すエラーです。たとえば、「ExpressVPN」を「ExpressVeePN」と誤入力すると発生します。再帰サーバーはそのドメインのDNSレコードを検索しますが、まだ設定されていないため見つけることができません。OSやChromeのバージョンによっては、DNS_PROBE_FINISHED_NXDOMAINまたはERR_NAME_NOT_RESOLVEDと表示されます。いずれも同じDNS検索失敗を意味します。
  

インターネットに再接続しデバイスを再起動しても問題が続く場合は、ルーターを再起動してください。それでも解決しない場合は、ISP側の設定に問題がある可能性があるため、ISPに連絡することをおすすめします。

「DNSサーバーが応答していません」とはどういう意味ですか？

アクセスしようとしているウェブページが停止している場合、たとえばメンテナンス中であったり、（分散型）サービス拒否（DDoS）攻撃を受けていたりすると、「DNSサーバーが応答していません」というエラーが表示されます。
また、次のような場合にもこのエラーが発生します。

• インターネットに接続されていない場合。
• 再帰サーバーが正常に動作していない場合。
• ブラウザのキャッシュを更新する必要がある場合。

ブラウザやデバイスのネットワーク設定を変更しておらず、正常なインターネット接続がある場合は、デバイスを再起動することで解決することがほとんどです。

あらゆるデバイスでDNS設定を変更する方法

iOSやAndroidのスマートフォン、MacやWindowsのコンピューターでは、さまざまな理由でDNS設定を変更できます。

• プライマリDNSサーバーが障害を起こした場合に備えてバックアップを追加するため。
• コンテンツをフィルタリングし、ネットワークにペアレンタルコントロールを適用するため。
• 社内用または自分で管理するDNSネットワークへ切り替えるため。
• インターネットのプライバシーやセキュリティを強化するため。

プライバシーやセキュリティの向上を目的とする場合は、複雑な技術的手順を行うよりも、ExpressVPNのようにプライベートDNSサーバーを提供しているVPNプロバイダーのサーバーに接続することをおすすめします。

WindowsでDNS設定を変更する

注：本例ではWindows 11を使用しています。バージョンによっては手順が若干異なる場合があります。

1. DNS設定を変更したいネットワークに接続します（EthernetまたはWi-Fi）。
2. Windowsのコントロールパネルを開きます。
   
3. ネットワークとインターネットをクリックします。
   
4. ネットワークと共有センターをクリックします。
   
5. アダプターの設定の変更をクリックします。
   
6. 対象の接続を右クリックし、プロパティを選択します。
   
7. 管理者パスワードの入力を求められた場合は入力します。
8. ネットワークタブを開き、この接続は次の項目を使用しますの一覧からインターネット プロトコル バージョン 4 (TCP/IPv4)またはインターネット プロトコル バージョン 6 (TCP/IPv6)を選択し、プロパティをクリックします。
   
9. 次のDNSサーバーのアドレスを使うを選択します。
   
10. 優先DNSサーバーと代替DNSサーバーに値を入力します。
11. OKをクリックします。

変更後は、すぐに接続が正常に機能するか確認してください。問題があれば早めに修正し、インターネット接続を維持しましょう。

MacでDNS設定を変更する

注：本例ではmacOS 26.1を使用しています。バージョンによっては手順が多少異なる場合があります。

1. Macのシステム設定を開きます。
2. ネットワークをクリックします。
3. DNS設定を変更したい接続（Wi-FiまたはEthernet）を選択します。
   
4. 接続中のネットワークの詳細をクリックします。
   
5. DNSをクリックします。
   
6. 現在設定されているDNSサーバーのアドレスをコピーし、安全な場所に保存しておきます。トラブルシューティング時に重要です。
7. +アイコンをクリックして既存のDNS設定を置き換えます。
   
8. 新しいIPv4またはIPv6アドレスを追加します。
9. OKをクリックします。

設定後は、ブラウザを終了して再起動し、ウェブページを開いて動作を確認してください。これにより、ブラウザがキャッシュページではなく、新しいDNSサーバーによって解決された最新のページを読み込んでいることを確認できます。

iOS（iPhoneおよびiPad）でDNS設定を変更する

注：本例ではiOS 26.0.1を使用しています。バージョンによっては手順が多少異なる場合があります。

1. DNS設定を変更したいWi-Fiネットワークに接続し、iOSデバイスの設定を開きます。Wi-Fiをタップします。
   
2. 接続中のWi-Fi名の横にある情報アイコンをタップします。
   
3. 画面をスクロールし、DNSを構成をタップします。
   
4. 設定を自動から手動に変更します。
   
5. サーバーを追加をタップし、使用したいIPv4またはIPv6アドレスを入力します。
   

AndroidでDNS設定を変更する

注：本例ではAndroid 15を搭載したXiaomi 15 Ultraを使用しています。その他のデバイスやソフトウェアのバージョンでは、手順が多少異なる場合があります。

1. Androidデバイスの設定を開き、その他の接続オプションをタップします。
   
2. プライベートDNSをタップします。
   
3. プライベートDNSプロバイダのホスト名を選択し、DNSプロバイダのホスト名を入力します。
   
4. 保存をタップします。

公開DNSとプライベートDNSのどちらを使うべきでしょうか？

公開DNSサーバーは、通常、ISPやGoogleやCloudflareのような企業によって運営されています。一方、プライベートDNSは主に企業が所有・管理し、社内で利用されています。また、大規模なネットワークを運用する個人が、インターネットデータのセキュリティやプライバシーを守る目的でプライベートDNSサーバーを構築することもあります。

多くのインターネットユーザーは公開DNSを利用しています。しかし、前述のとおり、そこにはさまざまなプライバシー上のリスクがあります。より高いプライバシーを求めるのであれば、暗号化DNSサービスを備えた信頼性の高いノーログVPNを選ぶことをおすすめします。