セキュリティサービス部 佐竹です。
2025年11月30日(日本時間では12月1日)に発表された、Amazon Route 53 の新機能「Route 53 Global Resolver」について、セキュリティの観点を踏まえたメリットを解説したいと思います。本アップデートは、既存のサービスの名称変更を伴う大きなアップデートでもあります。
- はじめに
- AWS 公式ドキュメント等の紹介
- Route 53 Global Resolver のアーキテクチャと特徴
- セキュリティの観点で何が嬉しいのか
- 比較:Global Resolver と VPC Resolver
- 利用可能なリージョン
- 利用料金について
- Quotas (リミット)
- まとめ
はじめに
AWS re:Invent 2025 に合わせ、Amazon Route 53 に大幅なアップデートが来ました。
「Amazon Route 53 Global Resolver」 のプレビュー公開です。
Secure and reliable global DNS resolution for public and private domains
Amazon Route 53 Global Resolver is a fully managed DNS resolver service that provides secure DNS resolution with advanced filtering capabilities. Simplify DNS connectivity, apply security policies across all clients, and ensure high availability with anycast IPs and multi-Region deployment.---日本語訳---
パブリックドメインとプライベートドメイン向けの安全で信頼性の高いグローバル DNS 解決
Amazon Route 53 Global Resolver は、高度なフィルタリング機能を備えた安全な DNS 解決を提供するフルマネージド DNS リゾルバーサービスです。DNS 接続を簡素化し、すべてのクライアントにセキュリティポリシーを適用し、Anycast IP とマルチリージョン展開により高可用性を確保します。
本アップデートをざっくりと説明すると、「インターネット経由でアクセス可能な、パブリックドメインとプライベートドメインの両方を解決できるフルマネージドな DNS リゾルバー」です。
これまで、ハイブリッド環境や分散環境(オンプレミス、支社、リモートなど)において、インターネット上のドメインと社内アプリケーションのドメイン(Route 53 プライベートホステッドゾーンで提供されている情報)の両方を解決するには、運用上の複雑さが課題となっていました。
具体的にいうと、公開されているグローバルのドメインと、社内イントラからのみアクセス可能としたいプライベートドメインを解決するために「スプリットされた DNS インフラストラクチャ」を維持する必要がありました。それに加えて、VPC にアクセスするために VPN 接続や専用線での接続も必要です。
実際、DNS (Bind) on EC2 を実装する場合に、Forwarder を記載する必要が出ます。弊社でもこのような設定作業を請け負っていたりしました。以下はそのブログです。
「いやいや・・・」、と。はい、さすがにこの構成はレトロすぎます。今現在の構成だとどうなるでしょうか?
オンプレミス環境から AWS (VPC) 内にあるプライベートホステッドゾーン (PHZ) を解決しようとすると、どのような構成となるかおさらいしましょう。
- VPC の準備: DNS の名前解決の窓口となる VPC を特定または作成する
- インバウンドエンドポイントの作成: その VPC 内に「Route 53 Resolver インバウンドエンドポイント」を作成する(実態は ENI)
- プライベート接続の確立: オンプレミスと対象となる VPC を Site-to-Site VPN や Direct Connect で接続する
- DNS フォワーディング: オンプレミスの DNS サーバーから、VPC 内のエンドポイント IP へクエリを連携する設定を実装する
振り返ってみると、実に大変な手間がかかることがわかります。
環境構成図で理解したい方は、弊社エンジニアブログの以下の記事内「3.Inbound Endpoint・Outbound Endpoint」を合わせてご覧ください。
さて、このような状況においては、オンプレミスの複数拠点に DNS を展開する場合は特に、保守コストと管理負担が増大します。管理者は、カスタムフォワーディングの設定や、プライベートドメイン解決用の Route 53 Resolver エンドポイントの展開、さらには拠点ごとのセキュリティコントロールの実装を行う必要がありました。
通常、各拠点にはレイテンシ削減のためにローカルの DNS サーバー(AD や BIND)を配置します。DNS やネットワークの管理者は、これら全てのサーバーに対して「internal.example.com のクエリは AWS のインバウンドエンドポイントへ転送するように」という条件付きフォワーダー設定をして回る必要があります。加えて、DNS サーバーのパッチ適用やハードウェア保守も拠点数分発生することになります。これが「セキュリティコントロールの実装」であり、運用上の手間そのものです。
今回の Amazon Route 53 Global Resolver は、インターネット経由で到達可能な「Anycast IP アドレス」を提供することで、VPC の展開やプライベート接続を必要とせずに、オンプレミスやリモートクライアントに対してグローバルかつプライベートな DNS 解決を提供します。これにより、個別のスプリット DNS フォワーディング設定が不要となり、インフラ構成を簡素化できます。
簡素化すると、オンプレミスから AWS のプライベートホステッドゾーンを名前解決するために「VPN/DX の敷設」→「VPC 作成」→「インバウンドエンドポイント作成」という設定が必要だったものが、Global Resolver ならそれらを必要とせず、インターネット経由でハイブリッド DNS 環境を顧客に提供可能かつ、仕組みとしてよりセキュアに提供されるということです。
重要な名称変更について
本サービスの登場に伴い、既存の「Route 53 Resolver(VPC 内で .2 の IP アドレスで提供されていたもの(古くは Amazon Provided DNS と言われていたもの))」は、「Route 53 VPC Resolver」 という名称に変更されました。
- Route 53 Global Resolver (新): インターネット経由で利用。クライアント端末(PC/スマホ)やオンプレミス向け。
- Route 53 VPC Resolver (旧): VPC 内のリソース向け。
既に AWS 公式ドキュメントは本名称に変更済でした。正直なところ、名称変更は資格試験含めてブレが大きいため、負荷が高いなとは感じます。
AWS 公式ドキュメント等の紹介
Introducing Amazon Route 53 Global Resolver for secure anycast DNS resolution (preview)
Introducing Amazon Route 53 Global Resolver for secure anycast DNS resolution (preview)
同じタイトルですが、こちらはブログです。
What is Route 53 Global Resolver?
Route 53 Global Resolver のアーキテクチャと特徴
公式ドキュメント(User Guide)や発表内容を確認し、その特徴を抜粋します。
1. グローバルな Anycast IP
Global Resolver を作成すると、Anycast IP アドレス(IPv4/IPv6) が割り当てられます。
Anycast IP アドレスを使うことで、ユーザーが世界のどこにいても、固有の IP アドレスを DNS サーバーとして設定するだけで、最も近い有効化された AWS リージョンに自動的にルーティングされます。これにより、遅延を最小限に抑えた名前解決が可能になります*1。
この Anycast アーキテクチャは AWS Global Accelerator と連携しており、AWS の広帯域なグローバルバックボーンネットワークを利用して、DNS クエリのパフォーマンスを最適化しているとのことでした*2。
「AWS Global Accelerator と連携」している点からも推察できるのですが、これにより"Two unique IPv4 or IPv6 addresses" (2つのユニークな IP アドレスが割り当てられる)という仕様となっています*3。
2. パブリックとプライベートの統合解決
Global Resolver は以下の2つの解決を1つのエンドポイントで提供します。
- インターネットドメイン: 通常通りの、グローバルな Web サイトの名前解決
- プライベートドメイン: Route 53 Private Hosted Zone と関連付けることで、VPN なしで社内システムのアドレスに対する名前解決が可能
これにより、クライアント端末は VPN 接続の有無やネットワーク環境(社内/社外)を意識することなく、常に同じ DNS リゾルバーを利用して社内・社外両方のドメインを解決できるようになります。
3. 多様なプロトコルと暗号化(DoH/DoT)
従来の UDP/53 (Do53: DNS over UDP/TCP port 53) に加えて、DNS 通信を暗号化するプロトコルをネイティブでサポートしています。
- DNS over HTTPS (DoH): 443 ポートを使用
Web トラフィック(HTTPS)と同じポートを使うため、通信の中身を隠蔽してファイアウォールをすり抜けやすいのが特徴です。検閲や盗聴のリスクがある公共 Wi-Fi などでの利用に適しています。 - DNS over TLS (DoT): 853 ポートを使用
暗号化しつつも専用ポートを使うため、ネットワーク管理者からは「DNS 通信を行っていること」自体は把握しやすい方式です。通信の監視や制御を行いたい社内ネットワーク環境などで好まれることがあります。
カフェや空港のフリー Wi-Fi など、信頼できないネットワーク環境下でも、DNS クエリ(どのサイトを見ようとしているか)を盗聴・改ざんされるリスクを防ぐことができます。さらに、DNSSEC 検証(Validation)もサポートしており、パブリックな名前解決における応答の改竄(キャッシュポイズニング等)を検知・防止することが可能です。
4. 柔軟な認証方式
「インターネット公開されている DNS なら、誰でも勝手に使えてしまうのでは?」という懸念があるかと思いますが、その点については想定されており制御されています。
- IP アドレスベース: 支社の固定 IP アドレス(CIDR)などを許可リストに追加。
- トークンベース: モバイル端末やローミングユーザー向け。有効期限付きのトークンを発行し、DoH/DoT 接続時に認証を行います。
セキュリティの観点で何が嬉しいのか
「単に名前解決が便利になる」だけでなく、「エンドポイントセキュリティの最後の砦」 として機能する点が特筆されます。ランサムウェア対策や情報漏洩対策として、DNS のセキュリティの観点は重要です。
1. DNS Firewall による脅威ブロッキング
Route 53 Global Resolver は DNS Firewall の機能と統合されています。
AWS が管理する「Managed Domain Lists」を利用することで、以下の脅威ドメインへのアクセスを DNS レベルでブロックできるとのこと。
- マルウェア配布サイト
- フィッシングサイト
- ボットネットの C&C(Command and Control)サーバー
上画像の通り、マネジメントコンソールから「AWS managed domain lists」を選択し、ブロックしたい脅威カテゴリ(例として Threat - Malware)を選ぶだけでセキュリティ対策を実装可能です。
社員が誤ってフィッシングメールのリンクをクリックしても、DNS 解決の段階でブロック(NXDOMAIN や NODATA を返却)されるため、マルウェアのダウンロードや C&C サーバーへの接続を防ぐことができます。
また、セキュリティ脅威だけでなく、「ギャンブル」「ソーシャルメディア」「アダルトコンテンツ」といったコンテンツカテゴリベースのフィルタリングも可能とされています。これにより、企業のコンプライアンスポリシーに合わせたアクセス制御も実現できます*4。
2. 高度な脅威検知(DGA と DNS トンネリング)
さらに高度な機能として、以下の検知・ブロックが可能です。
- ドメイン生成アルゴリズム (DGA/Domain Generation Algorithm) の検知:
ランサムウェアやマルウェアは、C&C サーバーとの通信を隠蔽するために、機械的に生成したランダムなドメイン名(例:xyz123abc.com)を大量に使用します*5。Global Resolver はこれをアルゴリズムで検知し、ブロックしてくれます - DNS トンネリングの検知:
社内ネットワークからデータを持ち出す(Exfiltration)手法として、DNS クエリの中にデータを埋め込む「DNS トンネリング」が使われることがあります。これも検知・ブロック対象となっています
なお、これらの検知機能には「信頼スコア(Confidence Thresholds)」という概念があり、検知の感度を調整可能です。誤検知(False Positives)を減らしたい場合はしきい値を高く、逆に微細な兆候も見逃したくない場合は低く設定するなど、組織の運用に合わせてチューニングできます。
ただし一点注意が必要な仕様として、これら高度な脅威検知ルールでは「ALLOW(許可)」アクションを選択できません。「BLOCK(遮断)」または「ALERT(警告)」のみがサポートされています。これは、アルゴリズムによる動的な判定では、トラフィックが「確実に無害である」と断定することが難しいためです。
3. OCSF 形式でのログ出力
Global Resolver のクエリログは、OCSF (Open Cybersecurity Schema Framework) フォーマットに対応しています。
これは業界標準のセキュリティログフォーマットであり、Amazon Security Lake や SIEM(Splunk, Datadog 等)に取り込む際に、正規化の手間が大幅に省けます。「誰が(Token ID/IP)」「いつ」「何を(ドメイン)」解決しようとして、「どうなったか(Allow/Block)」が構造化データとして分析が可能となります。
なお、Route 53 Global Resolver は世界中のリージョンで動作させることが可能となりますが、ログの出力先は「Observability Region」として指定した単一のリージョンに集約されます。
The Observability Region determines where DNS query logs are delivered.
https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/gr-concepts-terminology.html
これにより、分散した拠点のログを一元管理しやすくなっています。
比較:Global Resolver と VPC Resolver
本アップデートにより、Route 53 のリゾルバーサービスは、利用場所と接続形態によって明確に役割が分担されました。それぞれの技術的な仕様の違いを以下にまとめます。
| 機能項目 | Route 53 Global Resolver (New) | Route 53 VPC Resolver (Old) |
|---|---|---|
| サービス範囲 | グローバル (Anycast) | リージョナル (VPC 内) |
| エントリポイント | パブリック Anycast IP (IPv4/IPv6) | VPC 内部 IP (x.x.x.2) または ENI |
| 接続要件 | インターネット接続のみ (VPN 不要) | 閉域網接続 (VPN/DX が前提) |
| 対応プロトコル | Do53 / DoH / DoT | Do53 (DoH は一部対応) |
| クライアント認証 | IP 許可リスト (CIDR) または トークン | ネットワークの到達性 (Sg / NACLs) |
| プライベート解決 | PHZ を DNS View へ関連付け | PHZ を VPC へ関連付け |
| Geo ロケーション | ECS (EDNS Client Subnet) 対応*6 | 非対応 (リゾルバーIPベース) |
| 耐障害性 | Anycast による自動フェイルオーバー | マルチ AZ / リージョン冗長 |
| ログ形式 | OCSF (標準スキーマ) | 独自のログフォーマット |
※PHZ = Route 53 Private Hosted Zone の省略
利用可能なリージョン
現時点で、既に以下のリージョンで利用が可能です。
- US East (N. Virginia) Region
- US East (Ohio) Region
- US West (N. California) Region
- US West (Oregon) Region
- Europe (Frankfurt) Region
- Europe (Ireland) Region
- Europe (London) Region
- Asia Pacific (Mumbai) Region
- Asia Pacific (Singapore) Region
- Asia Pacific (Tokyo) Region
- Asia Pacific (Sydney) Region
利用料金について
以下 Pricing ページを参考に利用料についても最後にまとめます。
まず「プレビュー期間中は、Global Resolver の料金は発生しません」とのことです。
Route 53 Global Resolver は、リージョンの導入状況とクエリ量に基づいて、2 段階の料金モデルを採用予定です。
- リージョンごとの時間単位料金:
- 最初の 2 つの AWS リージョン:リージョンごとに 1 時間あたり 5.00 ドル(DNS フィルタリングを使用しない場合は 1 時間あたり 4.50 ドル)
- 追加のリージョン:リージョンごとに 1 時間あたり 1.50 ドル(DNS フィルタリングを使用しない場合は 1 時間あたり 0.75 ドル)
- 料金は、その月中にインスタンス化されたリージョンに基づいて日割り計算されます
- クエリ量ごとの料金:
- Global Resolver の全リージョンで生成された最初の 10 億クエリを超えるクエリについては、100 万クエリあたり 1.50 ドル
Quotas (リミット)
気になるクオータですが「Global resolvers per account」がデフォルト「2」です。調整可能なクオータとなっていますが、念のため注意してください。
まとめ
本ブログでは、2025年11月30日(日本時間では12月1日)に発表された、Amazon Route 53 の新機能「Route 53 Global Resolver」について、セキュリティの観点を踏まえたメリットを解説しました。本リリースはかなり力の入ったアップデートであり、AWS のドキュメントも長文で、全てはご紹介し切れません。
Route 53 Global Resolver は、組織が直面する主要な DNS の課題である「パブリックとプライベート間のスプリットトラフィックの実現」、「DNS データ持ち出し(Exfiltration)攻撃からの保護」、そして「高可用性とグローバル展開」を、単一のマネージドサービスで解決します。
今回のアップデートにより、企業は複雑な VPN 構成や地域ごとの転送設定を維持することなく、あらゆる場所から社内リソース(プライベートホステッドゾーン)へアクセスできるようになります。また、DoH/DoT による通信の暗号化や、DGA や DNS トンネリングといった高度な脅威の検知・ブロック機能により、ゼロトラスト環境における「エンドポイントセキュリティの最後の砦」としての役割も果たすようになるでしょう。
ランサムウェア対策として C&C 通信を遮断したいセキュリティ担当者はもちろん、分散した拠点における DNS インフラの運用負荷を軽減したいインフラ担当者にとっても、検証する価値の極めて高いサービスと言えます。
では、またお会いしましょう。
*1:正確には「(管理者がデプロイ先に選んだ) リージョンの中で一番近いところ」です。 例えば、管理者が「米国東部」と「欧州」しか選んでいなければ、日本のユーザーのクエリは(日本ではなく)米国か欧州に転送される実装のようでした
*2:AWS services that integrate with Route 53 Global Resolver for enhanced DNS security https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/gr-related-services.html
*3:IPv4 の場合、Global Accelerator は 2 つの静的 IPv4 アドレスを提供します。デュアルスタックの場合、Global Accelerator は 2 つの IPv4 アドレスと 2 つの IPv6 アドレス、合計 4 つのグローバルの静的 IP アドレスを提供します https://docs.aws.amazon.com/ja_jp/global-accelerator/latest/dg/what-is-global-accelerator.html
*4:Key concepts and components for Route 53 Global Resolver https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/gr-concepts-terminology.html
*5:攻撃側は、DGA を使ってドメインを次々切り替えます。ドメインを順次切り替えていく理由は、防御側やソフトウェアが悪意のあるドメインをすばやくブロックして使用不可能とするためです
*6:DNS クエリに 「クライアント(ユーザー)の IP アドレスの一部(サブネット情報)」を付加して、権威 DNS サーバーに通知する仕組み
佐竹 陽一 (Yoichi Satake) エンジニアブログの記事一覧はコチラ
セキュリティサービス部所属。AWS資格全冠。2010年1月からAWSを業務利用してきています。主な表彰歴 2021-2022 AWS Ambassadors/2020-2025 Japan AWS Top Engineers/2020-2025 All Certifications Engineers。AWSのコスト削減やマルチアカウント管理と運用を得意としています。
