より堅牢なDNS基盤へ ーCloudflare DNSアップデート

ーコラムー

2026年2月25日号

はじめに

今回は Cloudflare DNS サービスについて、近年のアップデートを踏まえてあらためてご紹介します。

インターネット基盤を支えるさまざまな技術の中でも、DNS は最も重要な存在のひとつです。DNS サーバがダウンすると名前解決ができなくなり、サービス提供そのものが停止してしまいます。

そのため、DNS の安定性・回復力・可用性・セキュリティ・パフォーマンスを確保することは極めて重要だといえるでしょう。

過去のコラム「DNS サーバの DDoS 攻撃対策(自社 DNS と Cloudflare を連携)」では、オンプレミスの DNS サーバをプライマリー、Cloudflare をセカンダリー DNS として利用し、インターネット側にはセカンダリー DNS のみを公開する構成をご紹介しました。この方式により、既存の運用手順を変えることなく、強固な DNS 基盤を実現できる点を説明しました。

そして現在、Cloudflare DNS 基盤はこの数年で大きく進化しています。本コラムでは、その変化と強化ポイントについてお伝えします。

Cloudflareの基盤ネットワーク強化

Cloudflareネットワークは現在、330都市・125ヵ国以上に展開し、総容量は 447Tbps 規模に達しています(現在も拡大中)。DDoS攻撃は多数の送信元から膨大なトラフィックが送られるため、通常のDNSサービスでは帯域枯渇によってサービスが停止する恐れがあります。

Cloudflare Anycast ネットワーク を採用しており、攻撃トラフィックは地理的に最も近いデータセンターで吸収され、クラウド全体で負荷を分散します。つまり、基盤容量の増強は、 DDoS耐性のさらなる向上を意味します。

このような継続的なインフラ強化により、Cloudflare DNSを含む各サービスはグローバル規模の攻撃にも耐えうる、より堅牢なサービス基盤へと進化し続けています。

Foundation DNS :エンタープライズ向けに設計された権威DNS基盤

Cloudflare 2024 年、従来の権威 DNS を大幅に刷新した 「Foundation DNS」 を正式リリースしました。これは、高い可用性・信頼性・セキュリティ・柔軟性をさらに強化するために設計された、エンタープライズ向けの権威 DNS サービスです。

Cloudflare のエンタープライズプランでは、この Foundation DNS を権威 DNS として利用することができます。

Foundation DNS の可用性、信頼性、セキュリティを高める要素として、以下の点が挙げられます。

  1. Advanced nameservers による信頼性の向上
  2. 組織アカウント・ゾーン単位での固有 DNSSEC キーの提供

Advanced nameservers による信頼性向上の具体例

Advanced nameservers の特徴のひとつは、権威 DNS サーバが複数の TLD(トップレベルドメイン)に分散配置されている点です。これにより、特定 TLD の障害による影響が分散され、高い可用性が確保できます。

ネームサーバーの確認コマンド例:

$ dig cfdemo.org ns 

確認結果(関連部分のみ抜粋):

 

;; ANSWER SECTION:                                

 cfdemo.org.     86400   IN   NS   blue.foundationdns.com.     

 cfdemo.org.     86400   IN   NS blue.foundationdns.net.                              

cfdemo.org.     86400   IN   NS   blue.foundationdns.org.

 

このように、ネームサーバーが 「.com」「.net」「.org」 の 3 種類の TLD に分散されていることがわかります。

さらに、

blue.foundationdns.com.

blue.foundationdns.net.

blue.foundationdns.org.

これらのネームサーバーには、3つの同一 Anycast IP アドレスが割り当てられています。

 Anycast 構成のポイントは以下です。

3つの Anycast IP のうち 2つは同じ最寄りデータセンター

・残り 1つは異なるロケーションのデータセンター

つまり、1つの ゾーンに対して3 つの Anycast グループを使い、地理的配置を意図的に分散することで耐障害性を高めています。

例えば、ネームサーバーの Anycast IP 172.64.40.1 162.159.60.1 NRT(東京)に属し、

残りの 1 つは KIX(大阪)に配置されるといった構成がとられます。

この仕組みにより、特定データセンターで障害や特定 TLD のトラブルが発生しても、名前解決を継続できる高い耐障害性が確保されています。

ISMAP登録(政府調達基準への適合)

202512月、Cloudflare サービスが政府情報システムのためのセキュリティ評価制度であるInformation system Security Management and Assessment ProgramISMAP)に登録されました。ISMAPは、政府が求めるセキュリティ基準を満たすクラウドサービスを評価・登録する制度です。

対象のサービス範囲にはCDNWAFなどのアプリケーションサービスやAccess Gatewayなどのゼロトラストサービスをはじめ、基本となるDNSサービスも含まれています。※

ISMAP登録により、政府調達や公共案件で求められる高いセキュリティ水準に準拠していることが公式に示され、公共機関や高規制業界のプロジェクトでも Cloudflare DNSを安心して採用できるようになりました。

まとめ

Cloudflare DNS は、基盤ネットワークの拡大、Foundation DNS による権威 DNS の強化、そして ISMAP 登録による信頼性向上により、より堅牢で安全な DNS 基盤へ進化しています。

絶対に止められないサービスの構築・運用には、セキュアで耐障害性の高い DNS 基盤が欠かせません。Hidden Primary 構成によるセカンダリーDNSなどへのCloudflare DNSの活用は、強固な DNS 運用を実現する有効な選択肢となりえます。

 

※参考)ISMAP クラウドサービスリスト詳細 Cloudflare

https://www.ismap.go.jp/csm?id=cloud_service_list_detail&sys_id=a447b68083b5f650aa68c6a8beaad355

ISMAP クラウドサービスリスト詳細 Cloudflare 言明の対象範囲:

https://www.ismap.go.jp/sys_attachment.do?sys_id=3ad2d50183f53210aa68c6a8beaad357

執筆者:
三井情報株式会社
ソリューション技術グループ ソリューション第二技術本部 インフラ第一技術部第二技術室

コラム一覧はこちら

SNSでシェアする