## この記事でわかること - DNSSEC の検証に使える主要ツールの違い(Web ベース / コマンドライン) - 各ツールが「どこまで」検証してくれるのか(信頼チェーン全体か、単一応答か) - 状況別にどのツールを選べばよいか - 検証で失敗が出たときの最初の一歩 ## DNSSEC の検証ツールは「種類」で選ぶ DNSSEC(DNS の応答に電子署名を付け、改ざんを検知できるようにする仕組み)が正しく設定できているかは、見た目では分かりません。署名が付いていても、上位ゾーンとの連鎖(信頼チェーン)が 1 か所でも切れていると検証は失敗します。 そのため確認ツールは「**信頼チェーン全体を辿ってくれるか**」「**Web で完結するかコマンドが必要か**」「**視覚化してくれるか**」という観点で選びます。DNSSEC のしくみそのものは [DNSSEC の基礎](/blog/dnssec-basics) で解説しているため、本記事はツール選定に集中します。 ![DNSSEC の信頼チェーンと検証ポイント](/blog/dnssec-check-tool-comparison/validation-chain.svg) ## 主要ツール比較表 実在する代表的なツールを比較します。料金は確認時点で無料利用できるものに限って記載し、断定は避けています。 ![DNSSEC 確認ツール比較](/blog/dnssec-check-tool-comparison/tool-comparison.svg) | ツール | 形式 | 信頼チェーン全体 | 視覚化 | 日本語 UI | |---|---|---|---|---| | DNSViz | Web(無料) | あり | あり(図で表示) | なし | | Verisign DNSSEC Debugger | Web(無料) | あり | なし(段階チェック表示) | なし | | `dig +dnssec` | コマンド | 部分(手動で追う) | なし | ― | | `delv` | コマンド | あり(自動検証) | なし | ― | 各ツールの長所短所を順に見ていきます。 ### DNSViz:チェーンを図で把握したいとき DNSViz(dnsviz.net)は、対象ドメインの DNSSEC の状態を **図で視覚化** してくれる Web ツールです。ゾーンごとの鍵(KSK / ZSK)や署名、上位ゾーンの DS レコード(子ゾーンの鍵を親が保証するためのレコード)までを線でつなぎ、どこで連鎖が切れているかを一目で示します。 - 長所: 信頼チェーン全体を図で確認でき、どの段階で問題が起きたか直感的に分かる - 短所: UI は英語。図の読み解きに DNSSEC の前提知識がある程度必要 図の中で緑の線は正常な署名、赤や黄の線・枠は問題や警告を示します。鍵の更新(ロールオーバー)の途中や、親ゾーンに登録した DS レコードが古い鍵を指したままになっている、といった「設定したつもりで実は連鎖が切れている」状態を見つけるのに向いています。トラブルの全体像をつかみたいとき、最初に開くツールとして有力です。 ### Verisign DNSSEC Debugger:段階ごとに合否を見たいとき Verisign DNSSEC Debugger は、ルートから対象ドメインまでの検証を **段階ごとにチェックリスト形式** で表示する Web ツールです。各ステップに合否マークが付き、問題があった箇所が明示されます。 - 長所: 段階ごとに合否がはっきり出るので、原因の切り分けがしやすい - 短所: DNSViz のような全体図はなく、UI は英語 たとえば「ルートと TLD は緑だが、自社ドメインの段で赤になっている」と分かれば、原因は自社側の署名か、レジストラに登録した DS レコードに絞り込めます。DNSViz が「俯瞰の図」なら、こちらは「順を追ったチェックリスト」という使い分けになります。両方とも Web で完結するため、社内にコマンド環境が無い Web 担当者でも使えるのが利点です。 ### dig +dnssec / delv:コマンドで確認したいとき コマンドラインが使える環境なら、`dig` と `delv`(いずれも BIND 付属の DNS ツール)が手早く確実です。 `dig +dnssec example.jp` は、応答に DNSSEC 署名(RRSIG レコード)が含まれているかを確認できます。ただし署名の有無を返すだけで、**信頼チェーン全体の検証は自動では行いません**。連鎖を追うには上位ゾーンの DS や DNSKEY を手動で照合する必要があります。 一方 `delv example.jp` は **検証専用** に作られており、信頼チェーンをたどって最終的に正当かどうかを自動判定します。出力末尾に `fully validated` と出れば検証成功です。 - 長所: 手元で即実行でき、CI やスクリプトに組み込める。`delv` は自動検証まで行う - 短所: 出力がテキストで、視覚的な分かりやすさは Web ツールに劣る DNS レコードの種類そのものの基礎は [DNS レコードの種類](/blog/dns-record-types) を参照してください。 ## 状況別のおすすめ - **まず全体像をつかみたい**: DNSViz(図でチェーンを俯瞰) - **どの段階で失敗したか切り分けたい**: Verisign DNSSEC Debugger(段階別の合否) - **手元で素早く / 自動化したい**: `delv`(自動検証)、`dig +dnssec`(署名の有無確認) 実務では「DNSViz で俯瞰 → 失敗箇所を delv で再確認」のように Web とコマンドを併用すると確実です。 ## 検証で失敗が出たときの最初の一歩 どのツールでも検証失敗が出たら、慌てて DNSSEC を無効化する前に **どの段階で切れているか** を特定します。手順は次の通りです。 1. **DNSViz で全体を表示**: 赤や黄の表示がどのゾーンに出ているかを確認する 2. **失敗箇所が「自社ドメイン」なら**: 親(レジストラ)に登録した DS レコードが、現在使っている鍵(DNSKEY)と一致しているかを確認する。鍵更新後に DS の更新を忘れた、というのが最も多い原因です 3. **失敗箇所が「上位ゾーン」なら**: 自社側でできることは少なく、レジストラやレジストリ側の状況を確認します 4. **時間を置いて再確認**: 設定変更直後はキャッシュが残るため、TTL(レコードの保持期間)を考慮して時間を置く DS と DNSKEY の不一致は DNSSEC 検証失敗の典型例です。レコードの種類ごとの役割は [DNS レコードの種類](/blog/dns-record-types) を、DNSSEC の全体像は [DNSSEC の基礎](/blog/dnssec-basics) を参照してください。 ## よくある質問 **Q. ツールによって結果が違うことはありますか。** DNS の伝播途中や、ツールが参照する DNS サーバの違い(キャッシュ)で一時的に差が出ることがあります。設定変更直後は時間を置いて再確認してください。 **Q. `dig +dnssec` で署名は見えるのに検証が失敗します。** 署名の存在と、信頼チェーンが正しくつながっているかは別問題です。`dig` は署名の有無を返すだけなので、`delv` や DNSViz でチェーン全体を検証してください。多くは上位ゾーンの DS レコードの不整合が原因です。 **Q. DNSSEC を有効化したらメールやサイトに影響しますか。** 正しく設定されていれば通常は影響しません。ただし DS レコードの登録ミスなどで検証が失敗すると、対応リゾルバから名前解決ができなくなります。有効化の前後は本記事のツールで必ず検証してください。 **Q. 日本語で確認できるツールはありますか。** 本記事で挙げた主要ツールの UI は英語です。判定値の意味さえ押さえれば操作自体は難しくありません。読み解きに不安があればご相談ください。 ## まずは現状を把握しましょう 自社ドメインの DNS 設定状況は、無料の[ドメイン診断](/diagnose)で確認できます。DNSSEC の有効化や検証失敗の切り分けに不安がある場合は、[お問い合わせ](/contact)からご相談ください。専門家がわかりやすくサポートいたします。