【ITニュース解説】7 Mistakes to Avoid in Managing DNS Records for Production Apps

ウェブサービスを構築し、安定して運用するために、DNS（Domain Name System）は「見えない背骨」とも言えるほど重要な役割を果たす。ユーザーがウェブサイトのアドレス（URL）をブラウザに入力した時、最初にそのURLがインターネット上のどのサーバーにあるのかを教えてくれるのがDNSである。このDNSの設定が適切でなかったり、応答が遅かったりすると、ウェブサイトが表示されなかったり、表示が大幅に遅れたりする原因となる。システムエンジニアとして、コードやインフラの管理と同じくらい厳格にDNSを扱うことが求められる。

DNSの管理において、特に注意すべき7つの間違いと、その回避策について解説する。

まず一つ目の間違いは、TTL（Time-to-Live）設定を無視することだ。TTLは、一度DNSの情報を調べたコンピューター（リゾルバ）が、その情報をどれくらいの時間覚えていて良いかを示す値である。例えば、サーバーのIPアドレスを変更する際に、TTLが非常に長く設定されている（例：86400秒、つまり24時間）と、変更後も古いIPアドレスの情報がリゾルバに残り続け、ユーザーは新しいサーバーにアクセスできなくなる可能性がある。デプロイメント（システムの更新や展開）を行う際は、一時的に短いTTL（300～600秒）を設定し、変更が安定した後に通常の長いTTLに戻すのが良い方法だ。これにより、変更が迅速に反映され、古い情報が残り続けるリスクを減らせる。

二つ目は、ApexドメインでCNAMEレコードを使用することである。Apexドメインとは、「www.example.com」ではなく「example.com」のように、ドメインの根幹となる部分を指す。CNAMEレコードは、あるドメインが別のドメインの別名であることを示すものだが、ApexドメインでCNAMEを使うと、そのドメインにとって不可欠な他の重要な情報（例えば、そのドメインを管理するネームサーバーの情報など）と競合してしまうという技術的な制約がある。多くのDNSプロバイダーではUI上でApexドメインにCNAMEを設定できてしまうが、これは一部のリゾルバで無視され、ウェブサイトへのアクセスが不安定になる原因となる。この問題を回避するためには、ALIASやANAMEといったCNAMEの機能を持つレコードを使用するか、サブドメイン（例：www.example.com）をCNAMEで指定し、Apexドメインは別の方法でサーバーに紐づけるなどの対策が必要だ。

三つ目は、メールのセキュリティ設定であるSPF、DKIM、DMARCを見落とすことである。これらは、送信するメールが正当なものであることを証明し、悪意のある第三者によるメールのなりすまし（ spoofing）を防ぐためのDNSレコードである。SPFは、メールを送信する正当なサーバーのIPアドレスをリストアップし、DKIMは、メールにデジタル署名を追加することで改ざんを検知できるようにする。DMARCは、SPFとDKIMのチェックが失敗した場合に、受信側のサーバーがそのメールをどのように扱うべきかを指示する。これらの設定が適切に行われていないと、あなたが送ったメールが相手の迷惑メールフォルダに振り分けられたり、あなたのドメインを装った詐欺メールが横行したりする危険性がある。メールの信頼性を保つために不可欠な設定だ。

四つ目は、DNSSECを忘れることである。DNSSEC（Domain Name System Security Extensions）は、DNSの応答情報にデジタル署名を追加することで、その情報が改ざんされていないことを保証するセキュリティ機能である。インターネット上では、悪意のある攻撃者がDNSの情報を偽造し、ユーザーを偽のウェブサイトに誘導する「キャッシュポイズニング」と呼ばれる攻撃が存在する。DNSSECはこのような攻撃からドメインを守り、ユーザーが常に正しい情報にアクセスできるようにするための重要な仕組みだ。導入は複雑に感じられるかもしれないが、ほとんどのドメイン登録事業者やマネージドDNSサービスがDNSSECの有効化をサポートしており、簡単な操作で設定できる場合が多い。

五つ目は、DNSの変更を監視しないことである。DNSの設定はウェブサービスの生死を分けるほど重要であり、偶発的または悪意のある変更が、瞬時にサービス停止を引き起こす可能性がある。手動での確認だけに頼るのは非常に危険である。そのため、DNSレコードの変更を継続的に監視し、異常な変更が検知された場合にはすぐにアラートを発するシステムを導入することが重要だ。これにより、問題発生時に迅速に対応し、サービスのダウンタイムを最小限に抑えることができる。

六つ目は、IPv6 (AAAA) レコードを見落とすことである。IPv6は、現在主流のインターネットプロトコルであるIPv4の後継として、世界中で普及が進んでいる新しいプロトコルである。IPv6に対応したウェブサイトは、AAAAレコードという特別なDNSレコードを設定する必要がある。多くのCDN（Contents Delivery Network）やウェブサービスプロバイダーがIPv6をサポートし、最適なルーティングのためにAAAAレコードを利用している。AAAAレコードがない場合、IPv6のみをサポートするクライアントからのアクセスが困難になったり、IPv6環境のユーザーにとって最適なパフォーマンスが得られなかったりする可能性がある。IPv4とIPv6の両方でウェブサイトが正しく機能するように、Aレコード（IPv4用）と同様にAAAAレコードを設定し、ウェブサーバーが両方のプロトコルに対応しているかを確認することが重要だ。

七つ目は、CNAMEチェーンでIPアドレスをハードコードすることである。CNAMEレコードを使って外部サービス（例えばSaaSのAPIなど）にドメインを指し示す際、そのCNAMEがさらに別のCNAMEを指し、最終的にIPアドレスに解決されるような複雑な連鎖（CNAMEチェーン）は避けるべきである。このような多段階のCNAMEは、DNSの解決プロセスに余計なステップを増やし、ウェブサイトの表示速度にわずかながらも影響を与えるだけでなく、チェーンの途中のどこかで問題が発生した場合に、サービス全体に影響が及ぶリスクを高める。理想的には、CNAMEチェーンは単一のレベルに留め、指し示す先のIPアドレスの管理はサービスプロバイダーに任せるべきである。

これらの間違いを回避し、DNSを適切に管理することは、ウェブサービスの安定稼働、セキュリティの確保、そしてユーザーに快適な体験を提供するために不可欠な要素である。システムエンジニアは、DNSの管理をコードのバージョン管理やインフラのレビューと同じくらい真剣に捉え、可能であれば自動化されたテストを導入するなどの工夫も必要となる。これにより、予期せぬダウンタイムを減らし、セキュリティを向上させ、ユーザーにより快適なサービスを提供できるようになる。