ドメイン番人
DNSDNSSECWeb セキュリティツール

DNSSEC 確認ツール比較・選び方ガイド

ドメイン番人5 分で読めます
目次

この記事でわかること

  • DNSSEC の検証に使える主要ツールの違い(Web ベース / コマンドライン)
  • 各ツールが「どこまで」検証してくれるのか(信頼チェーン全体か、単一応答か)
  • 状況別にどのツールを選べばよいか
  • 検証で失敗が出たときの最初の一歩

DNSSEC の検証ツールは「種類」で選ぶ

DNSSEC(DNS の応答に電子署名を付け、改ざんを検知できるようにする仕組み)が正しく設定できているかは、見た目では分かりません。署名が付いていても、上位ゾーンとの連鎖(信頼チェーン)が 1 か所でも切れていると検証は失敗します。

そのため確認ツールは「信頼チェーン全体を辿ってくれるか」「Web で完結するかコマンドが必要か」「視覚化してくれるか」という観点で選びます。DNSSEC のしくみそのものは DNSSEC の基礎 で解説しているため、本記事はツール選定に集中します。

DNSSEC の信頼チェーンと検証ポイント

主要ツール比較表

実在する代表的なツールを比較します。料金は確認時点で無料利用できるものに限って記載し、断定は避けています。

DNSSEC 確認ツール比較

ツール 形式 信頼チェーン全体 視覚化 日本語 UI
DNSViz Web(無料) あり あり(図で表示) なし
Verisign DNSSEC Debugger Web(無料) あり なし(段階チェック表示) なし
dig +dnssec コマンド 部分(手動で追う) なし
delv コマンド あり(自動検証) なし

各ツールの長所短所を順に見ていきます。

DNSViz:チェーンを図で把握したいとき

DNSViz(dnsviz.net)は、対象ドメインの DNSSEC の状態を 図で視覚化 してくれる Web ツールです。ゾーンごとの鍵(KSK / ZSK)や署名、上位ゾーンの DS レコード(子ゾーンの鍵を親が保証するためのレコード)までを線でつなぎ、どこで連鎖が切れているかを一目で示します。

  • 長所: 信頼チェーン全体を図で確認でき、どの段階で問題が起きたか直感的に分かる
  • 短所: UI は英語。図の読み解きに DNSSEC の前提知識がある程度必要

図の中で緑の線は正常な署名、赤や黄の線・枠は問題や警告を示します。鍵の更新(ロールオーバー)の途中や、親ゾーンに登録した DS レコードが古い鍵を指したままになっている、といった「設定したつもりで実は連鎖が切れている」状態を見つけるのに向いています。トラブルの全体像をつかみたいとき、最初に開くツールとして有力です。

Verisign DNSSEC Debugger:段階ごとに合否を見たいとき

Verisign DNSSEC Debugger は、ルートから対象ドメインまでの検証を 段階ごとにチェックリスト形式 で表示する Web ツールです。各ステップに合否マークが付き、問題があった箇所が明示されます。

  • 長所: 段階ごとに合否がはっきり出るので、原因の切り分けがしやすい
  • 短所: DNSViz のような全体図はなく、UI は英語

たとえば「ルートと TLD は緑だが、自社ドメインの段で赤になっている」と分かれば、原因は自社側の署名か、レジストラに登録した DS レコードに絞り込めます。DNSViz が「俯瞰の図」なら、こちらは「順を追ったチェックリスト」という使い分けになります。両方とも Web で完結するため、社内にコマンド環境が無い Web 担当者でも使えるのが利点です。

dig +dnssec / delv:コマンドで確認したいとき

コマンドラインが使える環境なら、digdelv(いずれも BIND 付属の DNS ツール)が手早く確実です。

dig +dnssec example.jp は、応答に DNSSEC 署名(RRSIG レコード)が含まれているかを確認できます。ただし署名の有無を返すだけで、信頼チェーン全体の検証は自動では行いません。連鎖を追うには上位ゾーンの DS や DNSKEY を手動で照合する必要があります。

一方 delv example.jp検証専用 に作られており、信頼チェーンをたどって最終的に正当かどうかを自動判定します。出力末尾に fully validated と出れば検証成功です。

  • 長所: 手元で即実行でき、CI やスクリプトに組み込める。delv は自動検証まで行う
  • 短所: 出力がテキストで、視覚的な分かりやすさは Web ツールに劣る

DNS レコードの種類そのものの基礎は DNS レコードの種類 を参照してください。

状況別のおすすめ

  • まず全体像をつかみたい: DNSViz(図でチェーンを俯瞰)
  • どの段階で失敗したか切り分けたい: Verisign DNSSEC Debugger(段階別の合否)
  • 手元で素早く / 自動化したい: delv(自動検証)、dig +dnssec(署名の有無確認)

実務では「DNSViz で俯瞰 → 失敗箇所を delv で再確認」のように Web とコマンドを併用すると確実です。

検証で失敗が出たときの最初の一歩

どのツールでも検証失敗が出たら、慌てて DNSSEC を無効化する前に どの段階で切れているか を特定します。手順は次の通りです。

  1. DNSViz で全体を表示: 赤や黄の表示がどのゾーンに出ているかを確認する
  2. 失敗箇所が「自社ドメイン」なら: 親(レジストラ)に登録した DS レコードが、現在使っている鍵(DNSKEY)と一致しているかを確認する。鍵更新後に DS の更新を忘れた、というのが最も多い原因です
  3. 失敗箇所が「上位ゾーン」なら: 自社側でできることは少なく、レジストラやレジストリ側の状況を確認します
  4. 時間を置いて再確認: 設定変更直後はキャッシュが残るため、TTL(レコードの保持期間)を考慮して時間を置く

DS と DNSKEY の不一致は DNSSEC 検証失敗の典型例です。レコードの種類ごとの役割は DNS レコードの種類 を、DNSSEC の全体像は DNSSEC の基礎 を参照してください。

よくある質問

Q. ツールによって結果が違うことはありますか。 DNS の伝播途中や、ツールが参照する DNS サーバの違い(キャッシュ)で一時的に差が出ることがあります。設定変更直後は時間を置いて再確認してください。

Q. dig +dnssec で署名は見えるのに検証が失敗します。 署名の存在と、信頼チェーンが正しくつながっているかは別問題です。dig は署名の有無を返すだけなので、delv や DNSViz でチェーン全体を検証してください。多くは上位ゾーンの DS レコードの不整合が原因です。

Q. DNSSEC を有効化したらメールやサイトに影響しますか。 正しく設定されていれば通常は影響しません。ただし DS レコードの登録ミスなどで検証が失敗すると、対応リゾルバから名前解決ができなくなります。有効化の前後は本記事のツールで必ず検証してください。

Q. 日本語で確認できるツールはありますか。 本記事で挙げた主要ツールの UI は英語です。判定値の意味さえ押さえれば操作自体は難しくありません。読み解きに不安があればご相談ください。

まずは現状を把握しましょう

自社ドメインの DNS 設定状況は、無料のドメイン診断で確認できます。DNSSEC の有効化や検証失敗の切り分けに不安がある場合は、お問い合わせからご相談ください。専門家がわかりやすくサポートいたします。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから