米Microsoftは11月17日（現地時間）、WindowsのDNSクライアントで“DNS over HTTPS（DoH）”をサポートする計画を明らかにした。将来的には“DNS over TLS（DoT）”にも対応していくという。

“DNS（Domain Name System）”は“example.com”といったドメイン名からIPアドレスを調べてWebサイトに接続できるようにする仕組みで、インターネットにおける重要な基盤技術の一つだ。しかし、DNSサーバーに対するの問い合わせやその応答は通常、平文で行われるため、中間者攻撃（man-in-the-middle attack）により内容を盗聴したり、改竄やなりすましに悪用される可能性がある。

そこで、セキュリティやプライバシーを守るためにいくつかのDNS暗号技術が標準化されたが、最近有力視されているのが“DoH”だ。HTTPSによる暗号化接続はWebブラウザーで広く普及しており、導入が比較的容易で、短期間での実装が可能であるのが主な理由で、「Firefox」や「Google Chrome」でも導入が進んでいる。既存の設定を維持したままWindows環境をDoHに対応させるのは容易ではないが、同社はインターネットのエコシステム全体を健全にするのに役立つとして、DoHサポートを積極的に進める考えだ。

一方で、WindowsのDoH対応に対してはいくつかの課題もある。DNSの設定が過度に複雑になったり、DoHを利用するためにOSがユーザーのDNS設定を無視したり、勝手に変更するのではないかという懸念や、サーバー・クライアントの両方が暗号化をサポートしていない場合に、通常のDNSへシームレスに切り替える“フォールバック”処理をどうするかといった問題だ。フォールバックの問題は、ISPが提供するフィルタリングサービスやピアレンタルコントロールサービスがDoHでは利用できないという事情にも関わる。

同社はこの点に関し、ユーザーや管理者が構成したDNS設定を尊重し、勝手に変更を加えないこと（ユーザーによるコントロール）、DoHがどのようなものがわからないユーザーも保護されるよう、利用可能であれば既定でDoHを利用すること（プライバシーの重視）といった原則を掲げている。手始めとして、DoHをサポートするパブリックDNSサーバーを利用するよう設定されている環境でDoHを既定で有効化し、フォールバック処理に関する課題を見極めたい考えだ。