DNS over HTTPS（DoH）とDNS over TLS（DoT）の違いと選び方｜プライバシー保護の最新ガイド

DNS over HTTPS（DoH）およびDNS over TLS（DoT）は、インターネットトラフィックのプライバシー保護に欠かせない技術です。DNS over HTTPSを設定することで、閲覧したウェブサイトの履歴を第三者から隠し、データの傍受を防ぐことができます。

DNSリクエスト暗号化の重要性とプロバイダーが見ている情報

従来、デバイスはDNSサーバーへのリクエストを暗号化せず、平文で送信しています。そのため、インターネットプロバイダーや企業ネットワークの管理者、公共Wi-Fiの悪意ある利用者は、ユーザーがアクセスする全てのリソースを簡単に特定できます。

この情報漏洩の課題を解決するのが、DNSリクエストの暗号化です。この記事では、DoHとDoTの技術的な違い、DNS over TLSの設計特徴、そしてホームネットワークや個人デバイスの保護にどちらが最適かを詳しく解説します。

DNSの仕組みと主要な脆弱性

DNS（ドメインネームシステム）は「インターネットの電話帳」のように機能し、ウェブサイトのアドレスを入力すると、そのIPアドレスを取得するためにサーバーへリクエストを送ります。DNSの基本的な仕組みについてはこちらの記事で詳しく解説しています。

最大の弱点は、この通信が暗号化されていない点です。家庭用ルーターやインターネットプロバイダー、公共Wi-Fiのアクセスポイントなど、通信経路上のいかなるノードも、リクエストの内容を傍受・改ざんできます。プロバイダーはこの透明性を利用し、ユーザー分析やアクセス制限、トラフィック制御などを合法的に行います。

たとえウェブサイト自体がHTTPSで保護されていても、プロバイダーはどのドメインにアクセスしたか正確に把握できます。DNSリクエストを強力に暗号化すれば、この弱点を解消し、第三者による閲覧履歴の追跡を防げます。

DNS over HTTPS（DoH）の仕組み

DoHは、DNSサーバーへのリクエストを通常のHTTPS通信内に隠蔽します。インターネットプロバイダーのDPI（ディープパケットインスペクション）システムを含む第三者から見ると、単なるHTTPSページの閲覧にしか見えません。

このプロトコルは、ほとんどの現代ウェブサイトと同じポート443を利用します。そのため、DoHトラフィックだけを特定・遮断することはほぼ不可能です。もし遮断するなら、DNSサーバーのIP全体をブロックするしかなく、他の多くの正規サービスにも影響が及びます。

実際、DoHは主要ブラウザ（Chrome、Edge、Firefoxなど）に標準搭載され、OSの設定を無視して直接利用できるため、数クリックでネット上の行動を隠せます。

DNS over TLS（DoT）の特徴

DoTもプライバシー強化を目的としますが、異なるネットワーク層で動作します。HTTP通信に偽装するのではなく、TLS暗号化プロトコルを使ってデバイスとDNSサーバーの間に専用の暗号化トンネルを構築します。

DoTの最大の特徴は、専用ポート853を利用する点です。ネットワーク機器からは「DNS関連の通信」であることが明確に見えるため、管理や監視がしやすく、悪意のある通信の排除も容易です。

この特性から、企業ネットワークの管理者に支持されています。専用ポートにより、トラフィック管理・異常検知・セキュリティポリシーの適用が簡単です。

DoHとDoTの比較：主な違い

ネットワークポートと遮断回避性

DoTはポート853に依存しているため、プロバイダーやファイアウォールがこのポートを閉じるだけで通信が遮断されます。その結果、設定変更しない限り、デバイスは安全なDNSサーバーに接続できません。

一方、DoHはポート443で動作し、多数のウェブサービスと共用しています。このポートを遮断すれば、銀行やECサイトを含むインターネット全体が利用不能となるため、実質的に遮断できません。

パフォーマンスと速度

技術的には、DoT（ポート853）はHTTPヘッダーが不要な分、データパケットが軽量で、接続遅延もわずかに低減します。

DoHはHTTPSリクエストの生成に追加リソースが必要ですが、現代の高速インターネットと高性能プロセッサでは、この差はミリ秒単位で、一般ユーザーにはほとんど体感できません。

どちらを選ぶべきか：ホームネットワークと個人デバイス

設定場所や保護したい対象によって最適な選択肢は異なります。スマートフォンやPCブラウザであれば、DoHが適しています。企業や公共Wi-Fiなど厳しい制限下でも、必要なリソースへのアクセスが確保できます。

一方、家庭用ルーターに設定する場合はDoTがおすすめです。専用チャネルでDNS通信を管理でき、動画配信や大規模なウェブページのトラフィックと分離することで、ルーターの負荷を軽減します。

なお、DNSリクエストを隠しても、プロバイダーは最終的な接続先IPアドレスを追跡できる点に注意が必要です。

まとめ

どちらのプロトコルも、ウェブサイトの閲覧履歴をインターネットプロバイダーなどから確実に隠し、傍受や監視を防ぐという主目的を十分に果たします。

• スマホ・PCなど個人端末にはDoH。ブラウザで簡単に設定でき、公共Wi-Fiなど制限が厳しい環境でも問題なく利用可能です。
• 家庭全体のネットワークにはDoT。スマートテレビやIoT機器も含めてネットワーク全体の保護に最適で、ルーター側で一括管理できます。

利用環境やニーズに合わせて最適な方式を選択しましょう。

よくある質問（FAQ）

ブラウザでDoHを設定するには？

Chrome、Edge、Firefox、Yandex Browserなどの主要ブラウザには、DoH機能が標準搭載されています。設定メニューの「プライバシーとセキュリティ」→「安全なDNSサーバー」を有効にし、Cloudflare（1.1.1.1）やGoogle（8.8.8.8）などのプロバイダーを選択するだけです。

ルーターでDNS over TLSを有効化する方法は？

最新の暗号化プロトコルに対応したルーター（Keenetic、MicroTik、OpenWrtファームウェアなど）が必要です。管理画面からインターネット接続設定に入り、DNS暗号化を有効化。TLS証明書検証のために、サーバーアドレス（例：dns.adguard-dns.com）も入力しましょう。

プロバイダーはDoHやDoTをブロックできる？

DoTはポート853を閉じるだけで簡単にブロック可能です。一方、DoHはポート443で動作し、他の多くのウェブサービスと共用されているため、特定して遮断するのは現実的ではありません。