スプリットDNS すぷりっとでぃーえぬえす
簡単に言うとこんな感じ!
社外の人と社内の人に「別の地図」を渡す仕組みだよ!同じドメイン名でも、社外からアクセスしたら公開サーバーへ、社内からアクセスしたら社内専用サーバーへ案内できるんだ。外には見せたくない内部の住所を隠せるから、セキュリティ面でもすごく便利ってこと!
スプリットDNSとは
スプリットDNS(Split DNS)とは、同じドメイン名に対して、アクセス元(社内・社外)によって異なるDNS応答を返す仕組みのことです。「分割DNS」や「スプリットホライズンDNS(Split-horizon DNS)」とも呼ばれます。たとえば www.example.com というドメインに対して、社外からは公開IPアドレスを、社内からはプライベートIPアドレスをそれぞれ返す、といった使い方をします。
DNS(Domain Name System)は、ドメイン名をIPアドレスに変換する「インターネットの電話帳」ですが、通常1つのDNSサーバーは誰に対しても同じ答えを返します。スプリットDNSはこれを「内向き用」と「外向き用」に分割することで、社内の機密情報(内部サーバーのIPアドレスや構成)を外部に漏らさず、かつ社内ユーザーには最適な経路を案内できるようになります。
企業のシステム発注・運用において、社内システムをクラウドやオンプレミスで運用しながら、外部公開サイトも同一ドメインで運用したい場合に特に重要な設計概念です。情シス担当者でなくても、ベンダーとの打ち合わせで「スプリットDNSで対応します」と言われたとき、何を指しているか理解しておくと安心です。
スプリットDNSの仕組み
社内・社外それぞれのユーザーに対して、別々のDNSサーバー(または別々のゾーン設定)が応答を返します。
| 項目 | 社外ユーザー向けDNS | 社内ユーザー向けDNS |
|---|---|---|
| 配置場所 | インターネット(公開ゾーン) | 社内LAN(内部ゾーン) |
| 返すIPアドレス | グローバルIP(公開サーバー) | プライベートIP(社内サーバー) |
| 見えるレコード | 公開情報のみ | 社内サーバー含む全情報 |
| 代表的な用途 | 外部向けWebサイト案内 | 社内システムへの直接アクセス |
仕組みのイメージ
[ 社外ユーザー ]
↓ www.example.com を問い合わせ
[ 外部DNS ] → 203.0.113.10(公開Webサーバー)を返す
[ 社内ユーザー ]
↓ www.example.com を問い合わせ
[ 内部DNS ] → 192.168.1.10(社内Webサーバー)を返す覚え方:「正門と通用口」
スプリットDNSは会社の「正門(外向き)と通用口(内向き)」に例えられます。来客(社外ユーザー)は正面玄関に案内され、社員(社内ユーザー)は裏の通用口から直接入れる、というイメージです。同じ「会社」でも案内先が違う、それがスプリットDNSです。
実現方法の分類
| 方式 | 概要 | 代表的な製品・技術 |
|---|---|---|
| 物理的に分離 | 外部用・内部用DNSサーバーを別々に用意 | BIND, Windows DNS |
| ビュー(View)機能 | 1台のDNSサーバーがアクセス元によって応答を切り替え | BIND の view ディレクティブ |
| クラウドDNS | クラウド上でゾーンを分割管理 | AWS Route 53(プライベートホストゾーン), Azure DNS |
歴史と背景
- 1980年代後半〜1990年代初頭 — DNSの普及に伴い、企業内のネットワーク構造が複雑化。外部に公開したくない内部サーバー情報をDNSで管理する必要性が生まれた
- 1990年代中盤 — BINDがDNSサーバーのデファクトスタンダードとなり、設定の柔軟性から「内向き・外向き」の使い分けが現場レベルで広まる
- 2000年代 — BIND 9 が
view機能を正式サポートし、1台のサーバーでスプリットDNSを実現する構成が一般化 - 2010年代〜 — クラウド移行が進み、AWS Route 53の「プライベートホストゾーン」やAzure Private DNSなど、クラウドネイティブなスプリットDNS機能が登場
- 現在 — VPN・ゼロトラストアーキテクチャの普及とともに、リモートワーク環境でのスプリットDNS設計がより重要な課題に
関連技術との比較・構成図
スプリットDNSは単体の技術ではなく、ファイアウォール・VPN・DMZ(非武装地帯) などと組み合わせて使うのが一般的です。
VPN利用時のスプリットトンネリングとの違い
混同しやすい用語にスプリットトンネリングがあります。これはVPNの設定に関する話で、「社内向け通信だけVPN経由にして、それ以外は直接インターネットに出る」という仕組みです。スプリットDNSはDNS(名前解決)の話、スプリットトンネリングはVPNの通信経路の話、と覚えておきましょう。
| 比較項目 | スプリットDNS | スプリットトンネリング |
|---|---|---|
| 対象 | DNS(名前解決) | VPN(通信経路) |
| 目的 | 内外で異なるIPを返す | 社内通信のみVPN経由にする |
| 組み合わせ | よく併用される | よく併用される |
| 設定場所 | DNSサーバー | VPNクライアント・ゲートウェイ |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 1034 | DNS(ドメイン名の概念と設備)の基本仕様 |
| RFC 1035 | DNS(実装と仕様)の基本仕様 |
| RFC 6762 | Multicast DNS(mDNS)—ローカルDNS解決の関連仕様 |
| RFC 7816 | DNSクエリ名の最小化(プライバシー保護の観点で関連) |
関連用語
- DNS — ドメイン名をIPアドレスに変換するインターネットの電話帳
- プライベートIPアドレス — 社内ネットワーク内だけで使われる非公開のIPアドレス
- ファイアウォール — 外部からの不正アクセスを遮断するネットワークの門番
- VPN — インターネット上に仮想的な専用回線を作るトンネリング技術
- DMZ(非武装地帯) — 外部と内部の中間に置かれる公開サーバー用のネットワーク領域
- ゾーン転送 — DNSサーバー間でゾーン情報を複製・同期する仕組み
- フォワーダー — DNSの問い合わせを別のDNSサーバーに中継する設定
- ゼロトラスト — 「社内だから安全」という前提を捨てたセキュリティモデル