インターネット接続の高速化と安全化をもたらすOpenDNS

人間が読んで理解できる形式のWebサイトアドレスを数値として表現されたIPアドレスにマッピングする役割を担っているのが、いわゆるドメインネームシステム(DNS)である。2006年7月に立ち上げられたOpenDNSは、こうした本来のDNS機能に加えて、フィッシングサイトのブロックおよびURLの入力ミスを自動修正するというフリーのサービスも提供している。その他、OpenDNSで用いられているトラフィックのルーティングおよび負荷分散の最適化テクノロジは、Webページ転送の高速化という恩恵をもたらしてくれるのだ。

「OpenDNSの抱える広大なユーザベースから得られる恩恵をすべてのユーザが享受できるよう、弊社ではインテリジェント化の施された大型キャッシュを運用しております」とOpenDNSのコミュニティマネージャを務めるAllison Rhodes氏は語る。同氏の説明によると、OpenDNSの運用する高速ネットワークは、地理的に分散させた上にある程度の冗長化が施された接続サービスとなっているとのことだ。OpenDNSにおける現在のサーバ構成は、アメリカ国内に4基、イギリス国内に1基という態勢である。これらのサーバの稼働状況についてはライブシステム統計という機能で確認でき、またサーバのステータスおよび過去30日分の日別DNSリクエスト数もオンラインで閲覧できるシステムが整えられている。先月の通常時としてRhodes氏の挙げた数字によると、OpenDNSが1日に処理するDNSクエリは5億という数に上るとのことだ。

「弊社では、5つの拠点それぞれに大型のサーバクラスタを導入しています」と、OpenDNSの創業者にてCEOを務めるDavid Ulevitch氏は語る。「各クラスタ内部でローカルな負荷分散をさせているのは当然ですが、弊社の特長はボーダゲートウェイプロトコル(border gateway protocol)を用いたグローバルな負荷分散も行っていることです。そしてOpenDNSのユーザであれば、地球上のどのような場所からアクセスしようとも、自動的に一番手近にあるクラスタデータセンタに接続されるシステムとなっています。将来的にサーバが増設されれば、その分だけ信頼性と回線速度が増加すると同時に、ユーザの経験する待ち時間もよりいっそう減少してゆくはずです」

とは言うものの、現状の拠点はアメリカとイギリスにしかない訳であり、例えばアジア地域からアクセスするユーザなどはどうなるのだろうか? Ulevitch氏の説明によると、確かにアジア在住ユーザからのアクセスが処理されるのはシアトルおよびパロアルトにあるデータセンタとなるが、ネームサーバでの名前解決の速度だけが待ち時間を規定する要因ではないので、こうしたユーザであってもローカルにあるネームサーバを利用するよりOpenDNSを用いた方が高速なサービスを受けられるとしている。「弊社の場合は、高速なネームサーバに大容量キャッシュを搭載した上で、これらをネットワーク展開させていますが、このような構成はインターネット上にある他のネームサーバとの距離が短くなることも意味します」

こうした説明が真実を語っているのか、私はインドにある拠点から実際にアクセスをしてみた。結果、OpenDNS経由での接続に切り換えたところ、news.com、cnn.com、bbcworld.com、myspace.comなどのコンテンツを大量に含むWebサイトをかなり高速に読み出すことができるようになり、ping時間も非常に短く、news.com、lxer.com、osnews.com、distrowatch.org、bbcworld.comに対するクエリの応答時間(計測コマンドはdig -x site )についても私の契約ISPにあるDNSを使った場合に比較して10から25%短くなった。

ユーザが受けられる恩恵

この実験結果は、他のOpenDNSカスタマから寄せられたレポートを裏付けるものである。例えば、30から10,000名程度のユーザを抱える企業、大学、政府機関を相手に管理セキュリティサービスを提供するRa Security Systemsの副社長を務めるRobert Grabowsky氏も、そうしたカスタマの1人だ。「多数のユーザを満足させるためのポイントは、セキュリティ用の諸機能を調整して、高速なパフォーマンスと厳重なセキュリティとのバランスを取ることですね。Webブラウジングに話を限ると、そのパフォーマンスを規定する要素の多くは比較的簡単に調整できるものですが、DNSは例外です。」かく言うGrabowsky氏の持論は、DNSの機能を最大限に引き出せている管理者はほとんどいないというものである。「DNSというのは、一度立ち上げてしまえば後は放っておくものであり、そのパフォーマンス云々などは考える必要がないという通念が見られますね」

Grabowsky氏がOpenDNSを選択する理由は、主として接続速度の高速化にあると言う。「複数のドメインを参照しているWebページの場合、ブラウザ上でのページレンダリングに要する時間の差が、2秒から10秒あるいは15秒から20秒といった違いとなって現れます。これだけの待ち時間が短縮できるというのは大きな差異であり、翻って見ればユーザの満足度向上につながる訳です」

高速ネームリゾルバ以外の機能

OpenDNSは単にWebページの読み込みを高速化するというだけではなく、無警戒なユーザがフィッシングサイトにアクセスしようとする際に警告を発するというサービスも提供している。「DNSレスポンスも高速化されますが、それ以外にも、存在の知られたフィッシングサイトに対して警告が行われる機能も有用です」とGrabowsky氏は語る。

OpenDNSではPhishTankという、オンラインでのコラボレーション活動をベースとしたアンチフィッシング用データベースも利用されている。こうしたPhishTankの収集データはOpenDNSへのアクセス時に参照され、データベース中の登録エントリに該当するDNSルックアップが行われた場合は、そのアクセスを強制的にブロックすることでユーザを保護するという仕組みである。「PhishTankに寄せられるデータの情報源はコミュニティです。PhishTankの参加メンバは、Web、電子メール、APIのいずれかを介して、フィッシングの疑いのあるサイトを通報することになっています。そうして提出された情報を実際に検証するのは、他のコミュニティメンバの役割です。こうした作業を継続的に行うことで、個々のメンバがどの程度正確な評価をしているかが各自の発言力に反映するシステムにしてあります。具体的には、貢献度が大きく報告の精度も高いメンバほど、コミュニティでのフィッシングサイトの判定過程におけるウェイトを高くするという方式です」とUlevitch氏は説明している。

OpenDNSを用いるメリットとしては、利便性の向上を挙げることもできる。正しくは「.com」と入力すべきところで「.cm」や「.cmo」と打ち間違えてしまうのは誰しも行いがちな行為だが、OpenDNSではそうしたタイプミスを自動的に補正した上で、ユーザが意図していたであろうサイトに誘導してくれるのだ。そして補正結果のサイトが実在しなかった場合は、該当候補の検索結果を一覧したページが広告付きで表示される。実は、こうした広告こそがOpenDNSの収入源なのである。「OpenDNSは広告収入を得ていますが、そうした広告を目立つ形で掲載できるスペースが、ユーザの指定したURLを名前解決できなかった場合に提示する検索結果の一覧ページという訳です」とRhodes氏は語る。

以上の説明を読んで、非常な不人気を博したVeriSignのSite Finderサービスを思い起こした方もおられるのではないだろうか。VerisignによるSite Finderの運用法は、未登録ドメインにアクセスしようとしたユーザをリダイレクトすることで、各種の商品情報を表示するというものであった。こうした疑問に対するOpenDNS側の説明は、OpenDNSはオプトイン式の選択サービスである点でVeriSignとは異なっているとのことである。

OpenDNSは昨年12月、ドメインのオーナ向けのCacheCheckというフリーサービスの提供を始めた。「CacheCheckを用いると、ドメインのDNSホストを変更する際の処理を簡単化できます。具体的な操作としては、Time-To-Live(TTL)の有効期限が切れる前に、OpenDNSに“refresh now”を指示すればいいだけです」とRhodes氏は語る。これはOpenDNSのキャッシュをリフレッシュさせるための措置で、これにより古いエントリが消去され、その後のアクセスはすべて変更後のドメインに誘導されるようになる。このCacheCheckという機能は、アクセスしたいドメインが名前解決されない場合にも利用できる。例えばドメインがアクセス不可能な場合は、この機能を用いて原因を突き止められるかもしれず(ネームサーバが応答しないなど)、また状況によってはキャッシュをリフレッシュすることで問題が自動的に解決することもある。

ISPから見た場合のメリット

OpenDNSを用いることで得られる、応答速度の高速化、フィッシング防御、タイプミスの補正、ユーザによる制御機能といった特長は、OpenDNSをフリーで利用できる環境にあるISPにとって非常に魅力ある提案に感じられるもののはずだ。そうした1人が、英領西インド諸島にあるタークス・カイコス諸島に所在するブロードバンドISP業者Express High Speed Internetのジェネラルマネージャを務めるJeffrey A. Campbell氏である。「私どもの回線は、海底ケーブルを介して米国のインターネットバックボーンに接続しています。アップストリームプロバイダの米国との接続状況が貧弱であるため、DNSルックアップが完了するまではかなりの長時間を要しています」

同氏の語るところでは、新たにOpenDNSを利用し始めたことでExpress High-Speedでのルックアップ時間は80ms以上短縮できたとのことである。「私どもで扱うWebリクエスト数は毎分3,400件程度であり、1日につき65GB程度のWebデータを受け渡していることになるので、エンドユーザの体感する応答時間としては結構な違いとして現れているはずです。正確に計測された数値ではありませんが、www.news.comのような複雑な構成のWebページを読み込んでいるユーザの場合、最終的に1から3秒程度を短縮できたという報告もあります」

「私どものネットワークでは、Web負荷の大半を受け持っている2つの大容量Webキャッシュ(2TBおよび400GB)において、プライマリのフォワードリゾルバとしてOpenDNSを設定してあります。これら2つのマシンでは応答キャッシュ用にBind9をローカルに実行させていますが、これはキャッシュ上でのIP識別時に余分な待ち時間が生じないようにするためです」とCampbell氏は語る。

Campbell氏によると、OpenDNSの提供するタイプミス補正やフィッシング防御といった副次機能もユーザには歓迎されているとのことである。「私は1994年からISPビジネスに携わっていますが、(OpenDNSほど)実装が簡単で劇的な高速化が得られるものは、それほど多くないはずです」

OpenDNSの導入法

OpenDNSを導入する際の設定作業は、特定のソフトウェアをダウンロードする必要もなく、非常に簡単に行える。必要な操作は、各自の環境におけるデフォルトDNSネームサーバをOpenDNSのものに変更し直すことだけである。DNSネームサーバの設定法が分かっている場合は、既存の設定値をOpenDNSのアドレスである208.67.222.222および208.67.220.220に変更すればいい。そうした設定法が不明な場合は、主立ったルータ、オペレーティングシステム、携帯電話に関する具体的な設定手順がスクリーンショット付きでOpenDNSのホームページに用意されているので、その解説が参考になるだろう。

またOpenDNSにフリーアカウント登録を行うと、OpenDNSから提供されているDNS関連の諸機能に関する制御を各ユーザが行えるようになる。例えば、自分の使うIPアドレスについてはタイプミス補正とフィッシング防御は不要なのでオフにしておく、あるいは、OpenDNSを使用したいが固定IPアドレスは持っていないのでダイナミックDNSのアップデートはオンにしておくといった具合である。その他にもユーザは、各自のIPアドレスに関するトラフィック統計を過去30日間に渡って追跡した数種類のグラフを閲覧することもできる。

「弊社のサービスを用いることで、DNSレベルでのネットワーク設定をユーザが管理できるようになる訳ですが、DNSの挙動を個々のユーザ単位でリアルタイムに設定できるサービスというものを提供しているのは他に存在しないはずです」とUlevitch氏は語る。同氏の表現を借りれば、DNSの設定権をユーザの手に委ねることこそ、社名に“Open”を冠したOpenDNSの面目躍如ということになる。

Rhodes氏はOpenDNSの将来的な展望として、次のように語っている。「弊社のサービスについては、各種のISPや企業からも大きな関心が寄せられています。もちろん現行のカスタマに対するOpenDNSサービスの改善は継続的に行っていきますが、それと並行してISPや企業向けサービスの開発も進めていきます」

PhishTank API

開発者の中には、OpenDNSが収集するフィッシング防止用データを利用したいと考える人もいるだろう。そのような場合は、各種ツールにアンチフィッシング機能を組み込むためのPhishTank APIがフリーで公開されているので、その使用を検討してみることをお勧めする。例えばOpera 9.1なども、フィッシングサイトからのユーザ保護の一環として、PhishTankで収集されるデータを活用している。

NewsForge.com 原文