タグアーカイブ DNS

.ALドメインのDNSSEC障害、CloudflareがEDE 33で透明性を向上

2026年7月3日、アルバニアの国別コードトップレベルドメイン「.AL」でDNSSECの鍵ロールオーバーに失敗する障害が発生した。この影響で、.ALドメインを使用する政府機関や銀行、メディアサイトが一時的にアクセス不能となった。

Cloudflareが運用するパブリックDNSリゾルバ「1.1.1.1」は、この障害に対してネガティブトラストアンカー(NTA)を適用して暫定対応を実施。同時に、新しい拡張DNSエラー(EDE)コード「EDE 33」を初めて導入し、NTAが適用されていることをクライアントに明示した。

この記事では、.AL障害の経緯と、DNS運用におけるNTAの透明性を高めるEDE 33の技術的意義を解説する。TLDレベルのDNSSEC障害がもたらす影響と、再発防止に向けた課題を考察する。

.ALドメインで何が起きたのか

.ALドメインで何が起きたのか2026年7月3日14時15分(UTC)ごろ、アルバニアの通信規制当局AKEPが.AL TLDのDNSSEC鍵を更新しようとした際に設定ミスが発生した。新しいDNSKEYを公開したが、ルートゾーンに登録されていたDSレコードは古い鍵のままであり、DNSSECの信頼チェーンが切断された。その結果、1.1.1.1を含む世界中の検証対応DNSリゾルバは、.ALドメインのDNS応答を検証エラー(SERVFAIL)として拒否するようになった。障害発生から約3時間後の17時15分、Cloudflareは1.1.1.1に.AL向けのNTAを適用し、検証を一時的にバイパスして名前解決を回復させた。AKEPはその後、新しいDNSKEYも削除してしまい、ゾーンからDNSKEYが存在しない状態に陥った。最終的に19時15分ごろ、ルートゾーンからDSレコードが削除され、.AL全体がDNSSEC未署名の状態で名前解決が再開された。記事公開現在も、.ALは未署名のままである。.DEに続くTLD障害の連鎖この障害は、わずか2ヶ月前にドイツの.DE TLDで発生した同様のDNSSEC障害を想起させる。.DEの事例でも、1.1.1.1はNTAを適用して暫定対処を行い、事業者の対応を待つ形となった。TLDレベルのDNSSEC障害は頻発するものではないが、一度発生すると配下の全ドメインに影響が波及する。.ALはCloudflare RadarのTLDランキングで191位に位置し、アルバニアの政府サービスや金融機関、報道機関などが集まる重要なドメイン空間だ。正常時のDNSSEC検証チェーンルートゾーン → DSレコード(鍵ID=26319) → .ALネームサーバー → DNSKEY(鍵ID=26319)● 信頼チェーンが成立し、検証に成功する↓障害発生時の検証チェーン(破綻)ルートゾーン → DSレコード(鍵ID=26319) → .ALネームサーバー → DNSKEY(新鍵・不一致)● DSレコードとDNSKEYが一致せず、検証に失敗(SERVFAIL)この比較からわかるように、DNSSECの信頼チェーンはルートゾーンのDSレコードとTLDゾーンのDNSKEYが一致して初めて成立する。ロールオーバーの手順を誤ると、連鎖的に全下位ドメインの検証が失敗する仕組みだ。NTA適用の判断基準CloudflareはNTAを適用する前に、AKEPへの直接連絡とDNS-OARC Mattermostへの投稿を通じてコミュニティに注意喚起を行った。しかし、AKEPの連絡先アドレス自体が.ALドメインだったため、障害発生中は連絡が取れないという悪循環に陥った。NTAの適用は、DNSSEC検証を停止するという強い措置だ。Cloudflareの著者によれば、.DEの事例と同様に「障害が公共に確認されており、すべての検証リゾルバに等しく影響する」という点を重視して判断したという。検証を停止しても名前解決を維持する方を優先した格好だ。NTAの抱える透明性の課題NTAはDNSSECの緊急回避手段として有効だが、一つ大きな欠点がある。それは、クライアント側からNTAの適用を検知できないことだ。NTA配下で返されたDNS応答は、通常の検証済み応答と見分けがつかない。RFC 7646でもこの問題は認識されており、NTAの適用状況を運用者が公開することが推奨されている。Cloudflareは.DEや.ALの際にステータスページで情報を公開したが、それでも利用者が自発的に確認しなければ気づけない。監視ツールやアプリケーションがDNS応答だけで状況を把握する手段がなかった。従来のNTA適用時のDNS応答(Before)status: NOERROR ANSWER: google.al → 142.251.142.196※ 検証済み応答と外見上は区別できない⚠ NTAの適用は応答からは一切わからない↓EDE 33導入後のDNS応答(After)status: NOERROR EDE: 9 (DNSKEY Missing) EDE: 33 (Negative Trust Anchor) ANSWER: google.al → 142.251.142.196● EDE 33によってNTAの適用が明示的に通知される ● EDE 9で根本的なDNSSECエラーも同時に通知この「見えないNTA」は、なりすましDNS応答と正当な応答を区別するDNSSECの根幹を揺るがす。NTAが適用されている間、利用者は保護されていない状態で通信していることになるが、それを知る術がなかったのだ。EDE 33がもたらす透明性拡張DNSエラー(EDE)コードはRFC 8914で定義されており、DNSリゾルバがエラー時だけでなく成功応答にも追加のコンテキスト情報を付加できる仕組みだ。Quad9のBabak Farrokhi氏が提案し、Cloudflareも共同執筆者として参加したインターネットドラフトで、NTAの適用を示す新しいEDEコード「EDE 33」が定義された。1.1.1.1は.AL障害において、このEDE 33を初めて実運用に投入した。NTAが適用されている間、.ALドメインへのすべてのDNSクエリに対して、EDE 33が付加された応答が返されている。これにより、クライアントや監視ツールはDNS応答だけで「この応答はDNSSEC未検証である」と判断できるようになった。EDE 33の実装と応答例以下は、1.1.1.1にgoogle.alの名前解決を問い合わせた際の応答だ。ステータスはNOERRORで正しい回答が返されているが、2つのEDEコードが付加されている。$ kdig @1.1.1.1 google.al ;; ->>HEADEREDE 9(DNSKEY Missing)は、DNSSECの信頼チェーンが切断された根本原因を示している。EDE 33(Negative Trust Anchor)は、1.1.1.1がNTAを適用して応答を返したことを示す。この2つの情報が揃うことで、運用者は「本来は検証エラーになる状況だが、NTAによって暫定的に解決された」という全体像を把握できる。STEP 1 クライアントが1.1.1.1に.ALドメインのDNSクエリを送信↓STEP 2 1.1.1.1がDNSSEC検証を試行するが、DSレコードとDNSKEYが不一致↓STEP 3 NTAが適用されているため、検証失敗でもNOERRORで応答を返す↓STEP 4 EDE 9(原因)とEDE 33(NTA通知)を付加して応答を返却このフローは、1.1.1.1内部でNTAがどのように処理されるかを示している。EDE 33は、NTAが有効な間、DNSSECを使っていないドメインへのクエリにも付加される。NTAはゾーン全体に適用されるため、透明性もゾーン全体に対して一律に提供される設計だ。.DE障害で生じた問題も解決.DE障害の際、1.1.1.1はDNSSECの根本エラーではなく「EDE 22(No Reachable Authority)」を誤って返していた。これは、NTA配下で権威サーバーに到達できない場合に発生するエラーであり、真の原因を隠蔽してしまう問題があった。.AL障害ではこの点が改善され、EDE 9(DNSKEY Missing)が正しく返されている。EDE 33と組み合わせることで、「なぜ検証に失敗したのか」と「なぜ応答が返されたのか」の両方をクライアントが把握できるようになった。今後の標準化と運用への影響EDE 33はIANA(Internet Assigned Numbers Authority)によって正式に割り当てられており、Knot DNSプロジェクトのkdigツールはすでにEDE 33を名前で認識するようになっている。また、Unbound向けのプルリクエストもレビュー段階にある。他のDNSリゾルバ実装も追随することが期待される。このインターネットドラフトはIETFのDNSOPワーキンググループに提出済みで、2026年7月18日から24日にウィーンで開催されるIETF会合で議論される予定だ。標準化が進めば、EDE 33はすべての主要DNSリゾルバで実装される可能性が高い。国内DNS運用者への示唆国内のISPや企業が運用するDNSリゾルバでも、DNSSEC検証を有効にしているケースが増えている。.ALのようなTLDレベルの障害は稀だが、.JPや他のccTLDで発生しないとは限らない。EDE 33に対応したリゾルバ実装を採用することで、障害時の透明性を確保できる。また、NTAの運用には慎重さが求められる。Cloudflareは.DEと.ALの両方で、コミュニティへの通知後にNTAを適用し、問題解決後に速やかに解除している。このバランス感覚は、他のDNS運用者にとっても参考になる対応だ。残された課題記事公開現在、.ALはDNSSEC未署名のままだ。DSレコードがルートゾーンに再登録されない限り、.AL配下のすべてのドメインはDNSSECの保護を受けられない。AKEPがいつ復旧作業を完了させるかは不透明である。より根本的な問題として、TLD事業者のDNSSEC運用スキル不足が浮き彫りになった。鍵ロールオーバーは手順を誤ると広範囲に影響を及ぼす重要なオペレーションだ。ICANNやレジストリコミュニティによるガイドラインの整備や訓練の機会提供が求められる。この記事のポイント.AL TLDのDNSSEC鍵ロールオーバー失敗により、2026年7月3日に全.ALドメインが一時的に解決不能となった Cloudflareの1.1.1.1はNTAを適用して暫定対処を行い、同時に新しいEDEコード「EDE 33」を初めて実運用に投入した EDE 33はNTAの適用をDNS応答内で明示し、従来の「見えないNTA」問題を解決する .DEに続くTLDレベルのDNSSEC障害は、TLD事業者の運用スキル向上とNTAの標準化の必要性を浮き彫りにした出典” class=”wp-image-4945″/></figure><p class=wp-block-paragraph>2026年7月3日14時15分(UTC)ごろ、アルバニアの通信規制当局AKEPが.AL TLDのDNSSEC鍵を更新しようとした際に設定ミスが発生した。新しいDNSKEYを公開したが、ルートゾーンに登録されていたDSレコードは古い鍵のままであり、DNSSECの信頼チェーンが切断された。</p><p class=wp-block-paragraph>その結果、1.1.1.1を含む世界中の検証対応DNSリゾルバは、.ALドメインのDNS応答を検証エラー(SERVFAIL)として拒否するようになった。障害発生から約3時間後の17時15分、Cloudflareは1.1.1.1に.AL向けのNTAを適用し、検証を一時的にバイパスして名前解決を回復させた。</p><p class=wp-block-paragraph>AKEPはその後、新しいDNSKEYも削除してしまい、ゾーンからDNSKEYが存在しない状態に陥った。最終的に19時15分ごろ、ルートゾーンからDSレコードが削除され、.AL全体がDNSSEC未署名の状態で名前解決が再開された。記事公開現在も、.ALは未署名のままである。</p><h3 class=.DEに続くTLD障害の連鎖

この障害は、わずか2ヶ月前にドイツの.DE TLDで発生した同様のDNSSEC障害を想起させる。.DEの事例でも、1.1.1.1はNTAを適用して暫定対処を行い、事業者の対応を待つ形となった。

TLDレベルのDNSSEC障害は頻発するものではないが、一度発生すると配下の全ドメインに影響が波及する。.ALはCloudflare RadarのTLDランキングで191位に位置し、アルバニアの政府サービスや金融機関、報道機関などが集まる重要なドメイン空間だ。

正常時のDNSSEC検証チェーン
ルートゾーン DSレコード(鍵ID=26319) .ALネームサーバー DNSKEY(鍵ID=26319)
信頼チェーンが成立し、検証に成功する
障害発生時の検証チェーン(破綻)
ルートゾーン DSレコード(鍵ID=26319) .ALネームサーバー DNSKEY(新鍵・不一致)
DSレコードとDNSKEYが一致せず、検証に失敗(SERVFAIL)

この比較からわかるように、DNSSECの信頼チェーンはルートゾーンのDSレコードとTLDゾーンのDNSKEYが一致して初めて成立する。ロールオーバーの手順を誤ると、連鎖的に全下位ドメインの検証が失敗する仕組みだ。

NTA適用の判断基準

CloudflareはNTAを適用する前に、AKEPへの直接連絡とDNS-OARC Mattermostへの投稿を通じてコミュニティに注意喚起を行った。しかし、AKEPの連絡先アドレス自体が.ALドメインだったため、障害発生中は連絡が取れないという悪循環に陥った。

NTAの適用は、DNSSEC検証を停止するという強い措置だ。Cloudflareの著者によれば、.DEの事例と同様に「障害が公共に確認されており、すべての検証リゾルバに等しく影響する」という点を重視して判断したという。検証を停止しても名前解決を維持する方を優先した格好だ。

NTAの抱える透明性の課題

NTAはDNSSECの緊急回避手段として有効だが、一つ大きな欠点がある。それは、クライアント側からNTAの適用を検知できないことだ。NTA配下で返されたDNS応答は、通常の検証済み応答と見分けがつかない。

RFC 7646でもこの問題は認識されており、NTAの適用状況を運用者が公開することが推奨されている。Cloudflareは.DEや.ALの際にステータスページで情報を公開したが、それでも利用者が自発的に確認しなければ気づけない。監視ツールやアプリケーションがDNS応答だけで状況を把握する手段がなかった。

従来のNTA適用時のDNS応答(Before)
status: NOERROR
ANSWER: google.al → 142.251.142.196
※ 検証済み応答と外見上は区別できない
NTAの適用は応答からは一切わからない
EDE 33導入後のDNS応答(After)
status: NOERROR
EDE: 9 (DNSKEY Missing)
EDE: 33 (Negative Trust Anchor)
ANSWER: google.al → 142.251.142.196
EDE 33によってNTAの適用が明示的に通知される
EDE 9で根本的なDNSSECエラーも同時に通知

この「見えないNTA」は、なりすましDNS応答と正当な応答を区別するDNSSECの根幹を揺るがす。NTAが適用されている間、利用者は保護されていない状態で通信していることになるが、それを知る術がなかったのだ。

EDE 33がもたらす透明性

拡張DNSエラー(EDE)コードはRFC 8914で定義されており、DNSリゾルバがエラー時だけでなく成功応答にも追加のコンテキスト情報を付加できる仕組みだ。Quad9のBabak Farrokhi氏が提案し、Cloudflareも共同執筆者として参加したインターネットドラフトで、NTAの適用を示す新しいEDEコード「EDE 33」が定義された。

1.1.1.1は.AL障害において、このEDE 33を初めて実運用に投入した。NTAが適用されている間、.ALドメインへのすべてのDNSクエリに対して、EDE 33が付加された応答が返されている。これにより、クライアントや監視ツールはDNS応答だけで「この応答はDNSSEC未検証である」と判断できるようになった。

EDE 33の実装と応答例

以下は、1.1.1.1にgoogle.alの名前解決を問い合わせた際の応答だ。ステータスはNOERRORで正しい回答が返されているが、2つのEDEコードが付加されている。

$ kdig @1.1.1.1 google.al
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 32848
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1232 B; ext-rcode: NOERROR
;; EDE: 9 (DNSKEY Missing): 'no SEP matching the DS found for al.'
;; EDE: 33 (Negative Trust Anchor): 'a Negative Trust Anchor has been applied for this query (see RFC 7646)'

;; ANSWER SECTION:
google.al.              300    IN    A    142.251.142.196

EDE 9(DNSKEY Missing)は、DNSSECの信頼チェーンが切断された根本原因を示している。EDE 33(Negative Trust Anchor)は、1.1.1.1がNTAを適用して応答を返したことを示す。この2つの情報が揃うことで、運用者は「本来は検証エラーになる状況だが、NTAによって暫定的に解決された」という全体像を把握できる。

STEP 1 クライアントが1.1.1.1に.ALドメインのDNSクエリを送信
STEP 2 1.1.1.1がDNSSEC検証を試行するが、DSレコードとDNSKEYが不一致
STEP 3 NTAが適用されているため、検証失敗でもNOERRORで応答を返す
STEP 4 EDE 9(原因)とEDE 33(NTA通知)を付加して応答を返却

このフローは、1.1.1.1内部でNTAがどのように処理されるかを示している。EDE 33は、NTAが有効な間、DNSSECを使っていないドメインへのクエリにも付加される。NTAはゾーン全体に適用されるため、透明性もゾーン全体に対して一律に提供される設計だ。

.DE障害で生じた問題も解決

.DE障害の際、1.1.1.1はDNSSECの根本エラーではなく「EDE 22(No Reachable Authority)」を誤って返していた。これは、NTA配下で権威サーバーに到達できない場合に発生するエラーであり、真の原因を隠蔽してしまう問題があった。

.AL障害ではこの点が改善され、EDE 9(DNSKEY Missing)が正しく返されている。EDE 33と組み合わせることで、「なぜ検証に失敗したのか」と「なぜ応答が返されたのか」の両方をクライアントが把握できるようになった。

今後の標準化と運用への影響

EDE 33はIANA(Internet Assigned Numbers Authority)によって正式に割り当てられており、Knot DNSプロジェクトのkdigツールはすでにEDE 33を名前で認識するようになっている。また、Unbound向けのプルリクエストもレビュー段階にある。他のDNSリゾルバ実装も追随することが期待される。

このインターネットドラフトはIETFのDNSOPワーキンググループに提出済みで、2026年7月18日から24日にウィーンで開催されるIETF会合で議論される予定だ。標準化が進めば、EDE 33はすべての主要DNSリゾルバで実装される可能性が高い。

国内DNS運用者への示唆

国内のISPや企業が運用するDNSリゾルバでも、DNSSEC検証を有効にしているケースが増えている。.ALのようなTLDレベルの障害は稀だが、.JPや他のccTLDで発生しないとは限らない。EDE 33に対応したリゾルバ実装を採用することで、障害時の透明性を確保できる。

また、NTAの運用には慎重さが求められる。Cloudflareは.DEと.ALの両方で、コミュニティへの通知後にNTAを適用し、問題解決後に速やかに解除している。このバランス感覚は、他のDNS運用者にとっても参考になる対応だ。

残された課題

記事公開現在、.ALはDNSSEC未署名のままだ。DSレコードがルートゾーンに再登録されない限り、.AL配下のすべてのドメインはDNSSECの保護を受けられない。AKEPがいつ復旧作業を完了させるかは不透明である。

より根本的な問題として、TLD事業者のDNSSEC運用スキル不足が浮き彫りになった。鍵ロールオーバーは手順を誤ると広範囲に影響を及ぼす重要なオペレーションだ。ICANNやレジストリコミュニティによるガイドラインの整備や訓練の機会提供が求められる。

この記事のポイント

  • .AL TLDのDNSSEC鍵ロールオーバー失敗により、2026年7月3日に全.ALドメインが一時的に解決不能となった
  • Cloudflareの1.1.1.1はNTAを適用して暫定対処を行い、同時に新しいEDEコード「EDE 33」を初めて実運用に投入した
  • EDE 33はNTAの適用をDNS応答内で明示し、従来の「見えないNTA」問題を解決する
  • .DEに続くTLDレベルのDNSSEC障害は、TLD事業者の運用スキル向上とNTAの標準化の必要性を浮き彫りにした
GitHub CopilotでDNS設定ゼロ、Pagesカスタムドメインを14分で公開

GitHub CopilotでDNS設定ゼロ、Pagesカスタムドメインを14分で公開

GitHub Copilot CLIでDNS設定ゼロ。GitHub Pagesカスタムドメインを14分で公開

GitHub Copilot CLIでDNS設定ゼロ。GitHub Pagesカスタムドメインを14分で公開

カスタムドメインの取得とDNS設定は、多くの開発者にとって「最後の関門」だ。Aレコード、CNAMEエントリ、TTL(Time To Live / DNSキャッシュの有効期間)、そして「設定が反映されたのかどうかもわからない」という長い待ち時間。これらの煩わしさが、せっかくのプロジェクト公開を先延ばしにする原因になっている。

GitHub Blogで2026年7月8日に公開された記事によれば、GitHub Copilot CLIとコミュニティ製のNamecheapスキルを組み合わせることで、DNSレコードを手動で1行も編集せずに、約14分でカスタムドメインの設定からHTTPS化されたサイト公開までを完了できることが実証された。空のリポジトリから公開まで、わずか14分だ。

本記事では、このワークフローをステップごとに分解し、技術的な仕組みと実務への応用方法を解説する。DNSの知識がなくても理解できるよう、専門用語には都度説明を加えながら進める。

Copilot CLIがDNSの常識を変える、手動設定から自動化への転換

Copilot CLIがDNSの常識を変える、手動設定から自動化への転換

従来のDNS設定が抱える3つの課題

カスタムドメインをGitHub Pagesに紐付けるには、従来以下の作業が必要だった。ドメインを購入し、レジストラ(ドメイン管理会社)の管理画面でAレコードとCNAMEレコードを手動で追加し、GitHubリポジトリ側にもCNAMEファイルをコミットする。さらにDNSの伝播(設定がインターネット全体に行き渡るプロセス)を待ち、最大で48時間かかることもある。

この一連の作業には大きく3つの課題がある。第一に手順の複雑さだ。AレコードやCNAMEといったDNSレコードの種類を理解し、正しい値を入力する必要がある。第二にフィードバックの遅さ。設定が正しいかどうかの確認に長時間を要する。第三にミスのリスク。1文字でも間違えるとサイトが表示されず、原因特定にも手間取る。

Copilot CLIが解決するDNS設定の自動化

GitHub Copilot CLIは、自然言語での指示をシェルコマンドやAPI操作に変換するAIアシスタントだ。これにレジストラのAPIと連携するスキルを組み合わせることで、DNSレコードの読み取り・設定・検証までを自動化できる。

今回のワークフローでは、Namecheap(ドメインレジストラ)のAPIを操作するコミュニティ製スキル「namecheap-skill」を使用する。Copilot CLIに対して「このドメインをGitHub Pagesに向けて」と指示するだけで、スキルが必要なAレコードとCNAMEレコードを自動生成し、レジストラのAPI経由で設定する。さらにGitHubリポジトリ側のCNAMEファイルも自動でコミットする。

従来の手動DNS設定(Before)
開発者 レジストラ管理画面にログイン Aレコード手入力 CNAME手入力 CNAMEファイル作成 Gitへコミット
手動操作6ステップ 伝播待ち最大48時間 タイポリスクあり
Copilot CLIによる自動DNS設定(After)
開発者 自然言語で指示 Copilot CLI API経由で自動設定 完了
指示は1行 設定と検証まで14分 人的ミスなし

手動で6ステップかかっていたDNS設定が、自然言語の指示1行で完結する。ミスのリスクが排除され、待ち時間も大幅に短縮される点が最大の利点だ。

準備編、GitHub Pagesへの公開と格安ドメインの取得

準備編、GitHub Pagesへの公開と格安ドメインの取得

ステップ1、GitHub Pagesでランディングページを公開する

まずは公開用のリポジトリを作成する。空のパブリックリポジトリを用意したら、index.htmlを手書きする必要はない。Copilot CLIに「このリポジトリでGitHub Pagesを有効にして、カスタムドメインに関するランディングページを作成して」と指示するだけで、HTMLの生成からPagesの有効化までを自動実行してくれる。

この時点でサイトは ユーザー名.github.io というURLで公開される。まずはデフォルトドメインでサイトが表示されることを確認し、次に独自ドメインの設定に進む。

ステップ2、低コストでドメインを取得する

サイドプロジェクトにプレミアムな .com ドメインは必須ではない。今回の検証では、最も安価なTLD(トップレベルドメイン / .comや.orgなどのドメイン末尾部分)のひとつである .click が選択された。購入費用はわずか2米ドル(約300円)だ。サイドプロジェクトでカスタムドメインを試すにはリスクの低い金額といえる。

Namecheapでドメインを検索し、利用可能な名前を選んで購入する。決済が完了すれば、次のステップでAPI経由のDNS設定に進む準備が整う。

Namecheap APIとCopilot CLIの連携でDNSレコードを自動設定

Namecheap APIとCopilot CLIの連携でDNSレコードを自動設定

Namecheap APIアクセスを有効化する

Copilot CLIがDNSを操作するには、事前にNamecheapのAPIを有効化する必要がある。Namecheapの管理画面で「Profile → Tools → Business & Dev Tools」と進み、Namecheap API Accessの管理画面を開く。ここで3つの設定を行う。

  • APIをONに切り替える
  • APIを呼び出すマシンのパブリックIPを許可リスト(ホワイトリスト)に追加する
  • APIキーをコピーして安全な場所に保管する

APIキーは後続のステップでCopilot CLIに入力するため、手元に控えておく必要がある。NamecheapのAPIを使うと、ドメイン一覧の取得やDNSレコードの読み書きをプログラムから実行できるようになる。

Namecheapスキルをインストールする

続いて、Copilot CLIにNamecheapと通信する能力を与えるスキルをインストールする。以下の1コマンドで完了する。

gh skill install github/awesome-copilot namecheap --scope user

スキルのインストール後、Copilot CLIに対して「自分のNamecheapドメインを一覧表示して」と指示すると、初回実行時にAPIキーの入力を求められる。先ほど控えたキーを入力すれば、アカウント内のドメイン一覧が表示され、連携が正常に機能していることを確認できる。

STEP 1 Namecheap管理画面でAPIをONにする
STEP 2 APIキーを取得しIPを許可リストに登録
STEP 3 gh skill install コマンドでスキルを追加
STEP 4 Copilot CLIがNamecheap APIと通信可能になる

この4ステップで、Copilot CLIがドメインレジストラのAPIを直接操作できる状態になる。従来のように管理画面を手動で操作する必要はない。

ドメインの紐付けと自動検証、すべてが14分で完了

ドメインの紐付けと自動検証、すべてが14分で完了

Copilot CLIにドメイン接続を指示する

準備が整ったら、Copilot CLIに対して「このGitHub Pagesサイトでカスタムドメインを有効にして」と指示する。スキルは現在のDNSレコードを確認し、変更を適用する前に確認を求めてくる。これは重要な安全設計だ。誤ったDNS変更がサイトの表示停止につながるリスクを、人間の承認によって防いでいる。

承認後、スキルは以下の作業を自動実行する。

  • Namecheapのパーキングレコード(未使用ドメインの仮レコード)を削除
  • GitHub PagesのAレコード(IPアドレス指定)を登録
  • WWWサブドメイン用のCNAMEレコードを追加
  • リポジトリにCNAMEファイルを自動コミット

これらの手順はGitHubが公式に定めるカスタムドメイン設定手順に完全に準拠している。手動で行う場合とまったく同じ結果が、人的ミスのリスクなく得られる。

自動検証でDNS設定の完了を確認する

設定が完了したら、Copilot CLIは自らの作業を検証する。まずドメインが正しく解決されるか(DNSルックアップ)を確認し、次にサイトがHTTP 200(正常応答)を返すかをチェックする。手動での動作確認すら自動化されているのだ。

実際のタイムラインを見てみよう。ドメイン購入は東部時間の午前11時21分27秒に行われた。約14分後の午前11時35分には、カスタムドメインでHTTPS化されたサイトが公開されていた。この14分にはAPIセットアップ、スキルインストール、DNS設定、伝播、検証のすべてが含まれている。

Copilot CLIの自動検証フロー
Copilot CLI DNSルックアップ実行 解決OK
Copilot CLI HTTPステータス確認 200 OK
Copilot CLI HTTPS証明書確認 有効
DNS設定から検証完了まで約14分

Copilot CLIがDNSルックアップとHTTPステータス確認を自動実行し、人間が待機する必要はない。設定ミスがあればすぐに検出され、修正も対話的に行える。

DNS自動化が変える開発体験、Namecheap以外でも使える汎用ワークフロー

このワークフローの本質は、Namecheapに限ったものではない。APIを提供しているレジストラであれば、同じアプローチが適用できる。専用のスキルがなくても、Copilot CLIにレジストラのAPIドキュメントを読み込ませ、「このAPIを使ってGitHub PagesのDNSレコードを設定して」と指示すればよい。レジストラが変わってもワークフローは変わらない。

DNS設定は「難しくはないが、面倒で失敗しやすく、フィードバックが遅い」という特性を持つ作業だった。Copilot CLIはこの3つの課題を同時に解決する。面倒な手順は自動化され、失敗のリスクは承認プロセスで抑制され、フィードバックは自動検証で即時に得られる。

カスタムドメインの設定を「面倒だから」と後回しにしてきた開発者にとって、このワークフローは心理的な障壁を取り除く。14分という時間は、コーヒーを淹れるのと変わらない。DNS設定がコマンド1行で済む時代が、すでに来ている。

この記事のポイント

  • GitHub Copilot CLIとNamecheapスキルでDNSレコードの手動編集が不要になる
  • 空のリポジトリからHTTPS化されたカスタムドメインサイトまで約14分で完了
  • API経由の自動設定によりAレコードやCNAMEの入力ミスがゼロになる
  • 設定後はCopilot CLIがDNS解決とHTTPステータスを自動検証する
  • Namecheap以外のレジストラでも、APIがあれば同じワークフローが適用可能
イランのインターネットが部分的に復旧。Cloudflare Radarが87日ぶりの通信量増加を観測

イランのインターネットが部分的に復旧。Cloudflare Radarが87日ぶりの通信量増加を観測

2026年5月26日、イランで約3か月にわたって継続していた全国的なインターネット遮断が、部分的に解除された。Cloudflare Radarの観測データは、通信量とDNSクエリの急激な増加を記録しており、市民のオンラインアクセスが再開されつつあることを示している。

今回の復旧は、2月28日に始まった2度目の大規模遮断から87日目にあたる。遮断開始以来、ほぼゼロにまで落ち込んでいたイラン発の通信量が、突如として前週比の約15倍に跳ね上がった。もっとも、この回復は完全ではなく、ピーク時のトラフィックは今年の最大値と比較して40%にとどまっている。

Cloudflareのネットワークを流れるデータの詳細を読み解くことで、長期化した遮断の実態と、今回の部分復旧の意味するところが浮かび上がる。本記事では、一連のデータポイントを分析し、イランのインターネット接続状況が現在どのようなフェーズにあるのかを解説する。

2026年にイランで発生した2度の大規模インターネット遮断

2026年にイランで発生した2度の大規模インターネット遮断

イランでは今年に入り、すでに2度の全国的なインターネット遮断が発生している。最初の遮断は1月8日に始まり、数日間でほぼすべての通信量が消失した。短期間の部分回復を挟みつつ、本格的な復旧は1月27日までずれ込んでいる。

2度目となる今回の遮断は、情勢の緊迫化を背景に2月28日から開始された。現地時間の午前10時30分ごろ、イラン国内から国外へ向かうウェブ通信量とDNSトラフィックは、遮断前の1%未満にまで急落した。それ以降、わずかなデータ漏洩を除けば、実質的に国全体がグローバルネットワークから隔絶された状態が続いていた。

この約3か月間、イランの一般市民はオンラインバンキング、地図アプリ、メッセージツール、海外のニュースメディアなど、日常生活やビジネスに不可欠なデジタルサービスから切り離されてきた。

遮断期間(2月28日〜5月26日)
イラン国内からのウェブ通信量とDNSトラフィックが、遮断前の1%未満で推移。国内の主要ネットワーク(TCI、IranCell、RighTelなど)の通信量がほぼゼロを記録した。
部分復旧後(5月26日〜)
前週の約15倍の通信量を記録。特に首都テヘランを中心にHTTPリクエストが急増し、DNSクエリも回復傾向にある。

上図の比較からわかるように、遮断期間中の通信は事実上ストップしていた。5月26日以降のデータは、国全体のネットワークが一斉に「息を吹き返した」かのような変化を示している。

トラフィック急増の詳細なデータが示すもの

トラフィック急増の詳細なデータが示すもの

通信量は前週の約15倍に跳ね上がった

Cloudflareのネットワーク上を転送されたバイト数のデータを見ると、復旧の兆候は明瞭だ。協定世界時(UTC)の5月26日11時45分に最初のスパイクが記録され、12時00分からは持続的な増加へと転じた。この通信量の急増は、遮断期間中の前週の水準と比較して約15倍に達している。

転送バイト数の増加とは、単に「接続が戻った」というだけでなく、画像や動画、ファイルダウンロードといった実データが国境を越えて再び流れ始めたことを意味する。ウェブの閲覧だけでなく、アプリのアップデートやクラウドストレージへの同期など、より帯域を消費する活動が再開された可能性が高い。

トラフィックの推移は、人間の生活リズムと一致する日内変動にも従っている。UTCの21時ごろ(現地時間の深夜0時30分ごろ)に通信量が減少し、翌27日の3時(現地時間6時30分ごろ)から再び増加に転じた。このパターンは、実際に人々が朝を迎えて端末を操作し始めたことを如実に反映している。

遮断中の通信量
平常時の1%未満。DNSクエリも極小で、海外へのデータの流れはほぼ完全に遮断されていた。
復旧開始後の通信量
UTC 11時45分のスパイク後、前週の約15倍に急増。夜間に一旦減少し、朝方に再度増加する日内変動を記録した。

この比較は、ネットワークが単に技術的に「オン」になったのではなく、エンドユーザーによる実需要が即座に反映されたことを示している。

全体の91.6%がテヘランに集中する地域別の偏り

回復したトラフィックのほとんどは、首都テヘランに集中している。Cloudflare Radarの地域別データによれば、HTTPリクエスト全体の実に91.6%がテヘラン州から発信されていた。他の地域でもわずかな増加は見られるものの、テヘランとの差は圧倒的だ。

この極端な偏りからは、いくつかのシナリオが推測できる。第一に、政府や通信規制当局が首都から優先的に復旧を進めている可能性が高い。第二に、テヘランには国内で最も多くのデータセンターや国際接続ポイントが集中しており、物理的に復旧作業が行いやすいというインフラ面の要因も考えられる。

ただし、この偏りが地方に住む大多数の市民にとって「ネットが戻った」という実感からはほど遠い状況を生んでいる点は重要だ。現在の復旧状況は、あくまで「部分的」であり、国の隅々まで接続性が戻るにはさらなる時間を要するだろう。

ネットワーク事業者別に見る復旧状況

通信量の増加は、複数の主要なインターネットサービス事業者(ISP)で同時に観測されている。11時45分の最初のバーストに続いて、TCI(イラン通信)、IranCell、RighTel、MCCIといった事業者のネットワークで一斉にトラフィックが立ち上がった。

これらの事業者は、それぞれ異なる自律システム番号(ASN)という一意の識別子で管理されている。ASNとは、インターネット上で個々のネットワークを識別するための番号で、例えるなら「インターネット世界における電話の市外局番と加入者番号を組み合わせたようなもの」だ。複数のASNで同時に復旧が確認されたことは、特定の事業者のみの一時的な不具合ではなく、国家レベルでの規制変更やゲートウェイの開放が行われたことを強く示唆している。

TCI IranCell RighTel MCCI 各事業者のASNで同時にトラフィック急増を観測
イランの主要ISP。5月26日のUTC 11時45分を境に、一斉に通信量が回復した。

複数事業者での同時回復という事実は、今回の復旧が偶発的なものではなく、中央政府の明確な意図に基づいて実行された可能性が高いことを示している。

DNSクエリの急増と1.1.1.1への影響

DNSクエリの急増と1.1.1.1への影響

転送バイト数だけでなく、DNS(ドメインネームシステム)クエリの数も急増している。DNSとは、人間が覚えやすい「google.com」のようなドメイン名を、コンピュータが理解できるIPアドレスに変換する、インターネットの「電話帳」にあたる仕組みだ。このDNSクエリが増えるということは、利用者が実際にウェブサイトやアプリに接続しようとしている直接的な証拠となる。

Cloudflareが提供するパブリックDNSリゾルバ「1.1.1.1」へのクエリも、5月26日を境にスパイクを記録した。このリゾルバは、インターネットサービス事業者が提供するデフォルトのDNSよりも高速で、プライバシーに配慮していることから、技術に詳しいユーザーを中心に世界中で広く利用されている。イラン国内から1.1.1.1へのクエリが増えたことは、単にネットが使えるようになっただけでなく、ユーザーが意識的に「より速く、より自由な」DNS解決手段を選択し始めた可能性を示唆する。

DNSトラフィックの回復は、ウェブページの閲覧だけに留まらない。メールの送受信、アプリのプッシュ通知、VoIP通話など、多種多様なインターネットサービスは、すべて通信の最初の段階でDNSクエリを発生させる。したがって、DNSクエリの増加傾向は、デジタル社会の活動そのものが再開されつつあることの強い指標と言える。

通信量はピーク時の40%にとどまる依然として本格復旧には遠い現実

通信量はピーク時の40%にとどまる依然として本格復旧には遠い現実

今回の回復を楽観視するのはまだ早い。5月26日のピーク時でさえ、トラフィックは今年に入ってから遮断前に記録された最大通信量のわずか40%にとどまっている。ネットワークの「部分的」復旧という言葉が示す通り、まだ多くの障害が残っていると見るべきだ。

加えて、1月の事例が示すように、一時的な復旧はすぐに逆戻りするリスクをはらんでいる。1月にも、一度は戻ったかに見えた通信が24時間足らずで再び遮断された経緯がある。現時点でのトラフィックの増加は心強い兆候ではあるが、これが持続的な復旧の始まりなのか、それとも再び訪れる「通信のブラックアウト」の前触れなのかは、今後の数日から数週間のデータを注視しなければ判断できない。

⚠ 依然として残るリスク
通信量は遮断前の「通常状態」と比較して60%近く低い水準にある。1月の事例のように、この回復が一時的なものであり、再び遮断される可能性は排除できない。

上記の警告表示が示す通り、ネットワーク状況は依然として流動的だ。本来あるべき水準からはほど遠く、完全な「日常」のネット利用が戻ったとは到底言えない。

IPv6アドレス消失が示す遮断の技術的メカニズム

IPv6アドレス消失が示す遮断の技術的メカニズム

イランのインターネット遮断を語る上で、見逃せないデータポイントがある。IPv6(インターネットプロトコルバージョン6)アドレス空間の消失だ。

IPv6とは、次世代のインターネットアドレス規格である。従来のIPv4アドレスが世界的に枯渇しつつある中で、ほぼ無限に近いアドレス数を提供できるIPv6への移行が世界中で進められている。このIPv6アドレスの広報(グローバルな経路表に自ネットワークのアドレスを登録すること)が、1月の最初の遮断が始まる数時間前に、イラン国内からほぼ完全に消失した。そして、驚くべきことに、5月の部分復旧後もIPv6アドレス空間の広報量は事実上ゼロのままだ。

一方、旧来のIPv4アドレス空間の広報は、2度の大規模遮断中も一貫して安定的に維持されていた。一見すると矛盾するこの事実は、イランの遮断が物理的なケーブルの切断やルーターの停止といった単純な手法ではなく、より高度なフィルタリング技術によって達成されていたことを強く示唆している。

IPv4アドレス空間
遮断中も安定的に広報が継続。グローバルな経路表からは「イランのネットワークは存在する」ように見えていた。
IPv6アドレス空間
1月8日の数時間前に突如消失。5月の部分復旧後も戻っておらず、現在もほぼゼロのまま。

この対比から導き出される仮説は明快だ。イランの規制当局は、特定のアプリケーションやプロトコルを識別して遮断するDPI(ディープパケットインスペクション)や、許可リストに登録された宛先以外への通信をすべて遮断するホワイトリスト方式を用いて、通信を制御していた可能性が高い。IPv4が「抜け殻」として維持されていたのは、将来的な復旧を想定した準備であったとも考えられる。IPv6が戻らない理由は定かではないが、次世代プロトコルに対する管理・監視体制が整っていないことが一因かもしれない。

この記事のポイント

  • 2月28日から87日間続いたイランのインターネット遮断が、5月26日に部分的に解除された。
  • Cloudflare Radarのデータでは、前週比約15倍の通信量とDNSクエリの急増が観測された。
  • 回復したトラフィックの91.6%は首都テヘランに集中しており、地方との格差が大きい。
  • 通信量は遮断前の通常時と比較すると40%の水準に留まり、本格復旧には至っていない。
  • IPv6アドレス空間の広報は依然として消失したままであり、遮断の技術的複雑さを示している。
de TLD障害の全容 DNSSEC署名破損でSERVFAIL多発 Cloudflareの一時的緩和策を解説

de TLD障害の全容 DNSSEC署名破損でSERVFAIL多発 Cloudflareの一時的緩和策を解説

2026年5月5日、およそ19時30分(UTC)、ドイツの国別コードトップレベルドメインである .de を管理するレジストリ DENIC が、同ゾーンのDNSSEC署名を誤って公開し始めた。この誤った署名は、DNSSEC検証を行うすべてのDNSリゾルバにSERVFAILを返させる結果となり、Cloudflareの公開リゾルバ1.1.1.1も例外ではなかった。

.de はインターネット上で最もクエリ数の多いTLDのひとつで、Cloudflare Radarのデータでも常に上位にランクインする。このレベルのDNS階層で障害が発生すると、数百万のドメインが到達不能になる可能性がある。本記事では、Cloudflareが観測した現象、影響の範囲、さらにDENICが問題を解決するまでの間に1.1.1.1が適用した一時的緩和策について解説する。

.de TLD障害の原因と発覚の経緯

.de TLD障害の原因と発覚の経緯
通常時(Before)
クライアント 1.1.1.1 DENIC (.de)
正しい署名を含む応答 → NOERROR
障害発生時(After)
クライアント 1.1.1.1 DENIC (.de)
誤った署名のため検証失敗 → SERVFAIL

DNSSEC署名が破損したことで、リゾルバは応答を信用せずSERVFAILを返す。この仕組みは正しいが、大規模な影響を引き起こした。19時30分の直後からSERVFAILが急増し、キャッシュの期限切れに伴って3時間にわたって増え続けた。クエリのリトライにより通信量も増大し、SERVFAILの件数は実際のユーザー影響以上に見える。

DENICは後の声明で「定例の鍵ローテーション中に、検証できない署名が生成・配布された」と説明しており、今後のローテーションは原因特定まで停止されている。

DNSSECの仕組みと署名検証の役割

DNSSECの仕組みと署名検証の役割
ルートゾーン
(信頼アンカー)

DSレコード
.de TLD
(この層で署名破損)

検証失敗
example.de
(到達不可)
検証失敗 正常な連鎖 影響を受けた子ゾーン

DNSSEC(Domain Name System Security Extensions)は、DNS応答にデジタル署名を付与して改ざんを防ぐ仕組みだ。各ゾーンのレコードセットにはRRSIGレコードが付随し、リゾルバはこれを用いて原本性を確認する。署名は保護対象のレコードと一緒に運ばれるため、キャッシュを経由しても検証可能だ。

信頼の連鎖はルートゾーンから始まり、親ゾーンがDSレコードで子ゾーンの公開鍵を証明する。.deの上位にはルートがあり、.deの下に個々のドメインがぶらさがる。どこか一か所で署名が破綻すると、その先の全ドメインが検証に失敗する。今回のようにTLDで署名ミスが起きれば、配下のすべての .de ドメインがSERVFAILになる。

DNSSECでは、ゾーン署名鍵(ZSK)と鍵署名鍵(KSK)を使い分ける。ZSKはレコードそのものに署名し、KSKはZSKに署名する。KSKの公開鍵が親ゾーンのDSレコードと結びつき、信頼の基点となる。鍵のローテーション時に新しい鍵が正しく配布されなかったり、署名生成に失敗すると、今回のような大規模障害につながる。

キャッシュとserve staleが被害を軽減

キャッシュとserve staleが被害を軽減
① キャッシュ有効期間内
クエリ → キャッシュから応答(NOERROR)
② TTL切れ、通常は再取得
DENICへ問い合わせ → SERVFAIL
③ RFC 8767に基づくstale応答
キャッシュ期限切れでも古いデータを返し続ける

リゾルバはTTL(生存時間)の間、権威サーバーから受け取ったレコードをキャッシュする。TTLが切れると、新しい情報を取りに行く。ところが障害発生中は、新たに取得しようとするとSERVFAILに終わる。そこでCloudflareの1.1.1.1はRFC 8767に従い、キャッシュの期限が切れた後も古いレコードを応答し続ける「serve stale」を実施した。

このおかげで、キャッシュに残っていた .de ドメインの多くは引き続き解決され、ユーザーへの影響は大幅に和らげられた。グラフからも、incident中にNOERRORが一定数維持されたことが分かる。serve staleがなければ、故障が始まった瞬間から全クエリが失敗していた。

Cloudflare 1.1.1.1が講じた一時的緩和策

Cloudflare 1.1.1.1が講じた一時的緩和策
対策前
.de クエリ → SERVFAIL
対策後(22:17 UTC)
.de を非検証扱い → NOERROR

serve staleだけではカバーできないクエリもあったため、Cloudflareは22時17分(UTC)に .de ゾーンに対して一時的なNTA(Negative Trust Anchor)に相当する措置を適用した。具体的には、内部のオーバーライドルールを使って .de 全体を「DNSSEC未対応ゾーン」のように扱い、署名検証をスキップさせた。

RFC 7646はまさにこうした状況のためにNTAを定義している。TLD運営者が破損した署名を公開した場合、正しいドメインまで巻き添えでSERVFAILになるより、一時的に検証を外す方がユーザーにとって有益だという判断だ。Cloudflareの内部議論でも「1.1.1.1を使っているユーザーで、検証失敗よりも未検証の応答の方を望まない者はいない」と結論づけられている。

同時に、CDNサービスを利用する顧客向けの内部リゾルバにも同様の対応を施し、 .de をオリジンとするサイトの接続性を回復させた。また、対策を即座にDNS-OARCのチャットで共有し、他の事業者との連携も行った。

なお、1.1.1.1が返していたSERVFAILにはEDEコード22(到達可能な権威サーバーなし)が付与されていたが、本来はEDE 6(DNSSEC無効)が適切だ。Cloudflareはこのバグを認識しており、今後DNSSECエラーを正しく表面化させる修正を予定している。

インシデントから学ぶ教訓と今後の改善点

インシデントから学ぶ教訓と今後の改善点

この障害は、DNSの階層構造がもつ脆弱性を改めて浮き彫りにした。TLDレベルで発生した問題は、その下にあるすべてのドメインに等しく波及する。これはDNSSECに限った話ではなく、権威サーバー自体が到達不能になれば同じことが起こる。

根本的な回避策は存在しないが、迅速な連携と運用上の工夫で被害を抑えられる。今回、多くのリゾルバ事業者が1時間以内にNTAを適用し、解決までの間ユーザーの影響を緩和した。DNS-OARCのような業界コミュニティの存在も、こうした危機対応のスピードを支えている。

技術面では、serve staleのような仕組みがTier-1レベルの障害時に有効に機能することが改めて示された。また、EDEエラーコードの適切な実装は、トラブルシューティングを容易にし、運用者間の情報共有を効率化する。Cloudflareもこの点の改善に着手する。

この記事のポイント

  • 2026年5月5日、.de TLDのDNSSEC鍵ローテーション中に不正な署名が生じ、全DNSSEC検証リゾルバがSERVFAILを返した
  • DNSの階層構造上、TLDの障害は配下のドメインすべてに影響する
  • Cloudflareの1.1.1.1はserve staleでキャッシュを延命し、さらに一時的にDNSSEC検証を無効化するNTA相当の対策を22時17分に適用
  • RFC 7646に定義されたNTAは、事業者間の迅速な合意形成があれば被害を大幅に軽減できる
  • EDEエラーコードの不備など、リゾルバ側の改善点も事例から明らかになった
Cloudflareの1.1.1.1が独立監査を完了。プライバシー保護の信頼性を再確認

Cloudflareの1.1.1.1が独立監査を完了。プライバシー保護の信頼性を再確認

Cloudflare(クラウドフレア)が提供するパブリックDNSサービス「1.1.1.1」が、第三者機関による独立したプライバシー監査を完了した。今回の監査は大手会計事務所(いわゆるBig 4の一角)によって実施され、同社が掲げる「ユーザーの個人データを収集・保持しない」という公約が技術的に守られていることが改めて証明された。

1.1.1.1は2018年4月1日のサービス開始以来、世界最速級のスピードと強固なプライバシー保護を両立させることを目標としてきた。2020年に続く2度目の大規模な独立監査を終えたことで、同社はインターネットのインフラを担う企業としての透明性をさらに強化した形だ。

DNSは「インターネットの電話帳」とも呼ばれる重要な仕組みだが、多くのユーザーはその背後でデータがどのように扱われているかを知る機会が少ない。今回の監査結果は、Webサイト運営者や一般ユーザーが安心してインフラを選択するための重要な指標となるだろう。

パブリックDNS「1.1.1.1」が目指すプライバシーの標準

パブリックDNS「1.1.1.1」が目指すプライバシーの標準

DNS(Domain Name System / ドメイン・ネーム・システム)とは、ブラウザに入力された「example.com」のようなドメイン名を、コンピュータが理解できる「192.0.2.1」のようなIPアドレスに変換する仕組みを指す。私たちがWebサイトを閲覧する際、必ず最初に行われるのがこのDNSへの問い合わせだ。

通常、このDNSサービスは契約しているインターネットサービスプロバイダー(ISP)が提供している。しかし、ISPのDNSは必ずしも高速ではなく、場合によってはユーザーがどのサイトを訪れたかという履歴を収集し、広告配信などに利用する懸念が指摘されてきた。こうした背景から、Cloudflareは「プライバシー第一」を掲げた1.1.1.1を立ち上げた経緯がある。

DNSリゾルバーとは何か

DNSリゾルバーとは、ユーザーからの問い合わせを受け取り、適切なIPアドレスを探し出して回答するシステムの総称だ。1.1.1.1はこのリゾルバーとして機能する。Cloudflareによれば、同社のシステムはユーザーのIPアドレスをディスクに書き込まず、24時間以内にすべてのログを削除するように設計されている。

これは、たとえ政府機関や第三者からデータの開示請求があったとしても、そもそもデータが存在しないために提供できない状態を作ることを意味する。技術的に「見ることができない」状態を構築することが、同社のプライバシー戦略の核心だ。

独立監査を継続する理由

企業が「プライバシーを守っている」と主張するのは簡単だが、それをユーザーが検証するのは難しい。Cloudflareは自社の言葉を裏付けるために、外部の専門家による監査を定期的に受けている。2020年の初回監査に続き、今回の2026年の報告書(2024暦年の運用を対象としたもの)でも、同社の主張が事実であることが確認された。

Cloudflareのブログによれば、他の主要なパブリックDNSプロバイダーの中で、このように独立したプライバシー監査を公に受けている企業は、同社が把握する限り存在しないという。この姿勢は、単なる機能提供を超えた「信頼」という付加価値を市場に提示している。

2026年の監査結果と技術的な透明性

2026年の監査結果と技術的な透明性

今回の監査プロセスは、数ヶ月にわたる膨大な証拠収集を経て完了した。Cloudflare内の多くのチームが協力し、プライバシー管理が実際に機能していることを外部監査人に示したという。その結果、同社のコアとなるプライバシー保証は変わらず維持されていることが確認された。

ここで重要なのは、同社が「完璧なゼロデータ」を謳っているわけではないという点だ。ネットワークの健全性を保つためには、最低限のデータ利用が必要になる。今回の報告では、そうした例外的な処理についても透明性が確保されている。

プライバシー保証が再確認された意義

監査によって確認された主要なポイントは、DNS問い合わせから取得した情報を、他のCloudflareデータや第三者のデータと結びつけて個人を特定することはないという約束だ。これは、例えば同社の他のサービス(CDNやWAFなど)で得られたデータと、1.1.1.1の利用履歴を照合して「どのユーザーが何を見ているか」を分析することはない、ということを意味する。

Web制作に関わる立場から見れば、クライアントのサイト訪問者のプライバシーを守るためにも、信頼できるDNSインフラを推奨できる根拠が強まったと言えるだろう。

トラブルシューティングとデータ利用の限定範囲

Cloudflareは、ネットワークのトラブルシューティングや攻撃の緩和(DDoS対策など)のために、ごく一部のパケットをサンプリングしていることを公表している。その割合は最大でも全トラフィックの0.05%以下だ。このサンプリングデータにはユーザーのIPアドレスが含まれる場合があるが、あくまでネットワークの正常な運用のためにのみ使用される。

こうした「何を行っていないか」だけでなく「必要最小限で何を行っているか」を明示する姿勢こそが、プロフェッショナルなテックブログとしての信頼感に繋がっている。情報の透明性は、ユーザーとの信頼関係を築くための唯一の手段だと言える。

通常のDNS
・ISPが履歴を収集
・広告に利用される懸念
・暗号化されない場合が多い
1.1.1.1
・ログを24時間で消去
・独立監査による証明済み
・DoH/DoTで通信を暗号化

このデモは、一般的なDNSと1.1.1.1のプライバシーの扱いの違いを視覚化したものだ。

独自のインフラ刷新とセキュリティの進化

独自のインフラ刷新とセキュリティの進化

2020年の監査から現在に至るまで、Cloudflareの技術スタックは大きく進化している。同社は1.1.1.1を支えるプラットフォームを完全に刷新し、よりスケーラブルで複雑な要求に応えられる体制を整えた。この新プラットフォームにおいても、当初のプライバシー公約が厳格に適用されているかどうかが、今回の監査の大きな焦点だった。

技術の規模が拡大すれば、それだけデータの管理は難しくなる。しかしCloudflareは、技術的な手段によって「そもそも追跡できない」仕組みを維持し続けている。これは、システムの設計段階からプライバシーを組み込む「プライバシー・バイ・デザイン」の好例だ。

新プラットフォームへの移行

新しいプラットフォームでは、1.1.1.1だけでなく他のDNS関連システムも統合されている。これにより、世界中のエッジサーバーでの処理速度が向上した。DNSの応答速度が上がることは、Webサイトの最初の読み込み時間が短縮されることを意味し、結果としてSEOやユーザー体験(UX)の向上に寄与する。

監査では、この新しい複雑なインフラにおいても、個人を特定可能なデータが適切に処理・破棄されていることが確認された。技術が進歩しても、ユーザーとの約束は変わらないというメッセージが強調されている。

匿名化データの活用とCloudflare Radar

Cloudflareは、匿名化されたトランザクションデータやデバッグログを、インターネットのトレンドを分析する「Cloudflare Radar」などの研究目的に活用している。Radarは世界中のトラフィックパターンやサイバー攻撃の動向を可視化するツールだが、ここでも個人のプライバシーに影響を与えないよう配慮されている。

2020年の監査時と比較して、こうしたデータの活用方法は進化しているが、監査報告によれば「個人情報の保護」という観点での影響はないと結論付けられている。匿名化されたビッグデータとして扱うことで、個人の特定を避けつつ、インターネット全体の安全性向上に役立てているわけだ。

ユーザーが1.1.1.1を選ぶべき実務的なメリット

ユーザーが1.1.1.1を選ぶべき実務的なメリット

Web制作やサイト運営に携わる立場として、なぜ1.1.1.1を推奨、あるいは利用すべきなのか。その理由は「速度」と「プライバシー」の2点に集約される。特に近年、プライバシー保護は法的・倫理的な観点だけでなく、ユーザーがサービスを選ぶ際の重要な基準となっている。

1.1.1.1を利用することで、ISPによるブラウジング履歴の収集を防げるだけでなく、フィッシングサイトやマルウェアを配布するドメインへのアクセスをブロックする機能(1.1.1.1 for Familiesなど)も選択できる。これは、組織のセキュリティレベルを底上げする安価で効果的な手段だ。

速度とプライバシーの両立

DNSの応答速度は、サイトの表示速度に直結する。Cloudflareは世界中に広がる自社のエッジネットワークを活用し、世界最速級のDNSレスポンスを実現している。プライバシーを重視するために速度を犠牲にする必要がない点は、プロフェッショナルな環境で選ばれる大きな理由だ。

また、DoH(DNS over HTTPS)やDoT(DNS over TLS)といった暗号化プロトコルに対応していることも重要だ。これにより、公共のWi-Fiなどを利用している際でも、DNSクエリの内容を第三者に盗み見られるリスクを大幅に軽減できる。

設定方法の簡便さ

1.1.1.1の導入は驚くほど簡単だ。PCやスマートフォンのネットワーク設定でDNSサーバーのアドレスを「1.1.1.1」に変更するだけで完了する。また、専用のモバイルアプリ(WARP)を利用すれば、ワンタップで設定を適用できる。この導入のしやすさは、技術に詳しくないクライアントや従業員に推奨する際にも大きなメリットとなる。

企業がDX(デジタルトランスフォーメーション)を進める中で、インフラのセキュリティとプライバシーを確保することは避けて通れない。1.1.1.1のような透明性の高いサービスを基盤に据えることは、長期的なリスク管理の第一歩と言えるだろう。

この記事のポイント

  • Cloudflareの「1.1.1.1」は、大手会計事務所による2度目の独立プライバシー監査を完了した。
  • ユーザーのIPアドレスを保持せず、個人を特定しないという同社の公約が技術的に証明された。
  • ネットワーク運用のためのサンプリングは全トラフィックの0.05%以下に制限されている。
  • 新しいプラットフォームへの移行後も、プライバシー・バイ・デザインの原則が維持されている。
  • 1.1.1.1の利用は、Webサイトの表示速度向上とプライバシー保護を同時に実現する有効な手段だ。
WordPressサイト移転でメールを止めない方法:MXレコードの仕組みと設定の勘所

WordPressサイト移転でメールを止めない方法:MXレコードの仕組みと設定の勘所

WordPressサイトの移転(マイグレーション)において、最も懸念されるリスクの一つがメールの停止だ。Webサイトの表示確認に集中するあまり、メールの送受信設定を疎かにすると、ビジネス上の重要な連絡を逃す事態を招きかねない。

サイト移転に伴うメールトラブルの多くは、DNS(Domain Name System)におけるMXレコードの挙動を正しく把握していないことに起因する。Webサーバーとメールサーバーは、本来それぞれ独立して運用できる構造を持っている。

本記事では、移転作業中にメール配信を継続させるための技術的背景と、状況に応じた最適な設定手順を解説する。これを理解することで、ダウンタイムのないスムーズなサイト移行が可能になる。

Webサイト移転とメール配信は「別物」と考えるべき理由

Webサイト移転とメール配信は「別物」と考えるべき理由

Webサイトのホスティング先を変更しても、必ずしもメールの配送先を変更する必要はない。これは、DNSが情報の種類ごとに異なる「レコード」を用いて管理されているためだ。

DNSにおけるAレコードとMXレコードの役割

DNSは、インターネット上のドメイン名とIPアドレスを紐付ける電話帳のような役割を果たす。その中でも、Webサイトの情報を司るのが「Aレコード(Address Record)」であり、メールの配送先を指定するのが「MXレコード(Mail eXchange Record)」だ。

ブラウザがサイトを表示する際はAレコードを参照し、メールサーバーがメールを届ける際はMXレコードを参照する。つまり、Aレコードを新しいサーバーのIPアドレスに書き換えても、MXレコードが書き換えられない限り、メールは従来のサーバーに届き続ける。

サーバー移転中もメールが止まらない仕組み

サイト移転のプロセスでは、旧サーバーと新サーバーに同じコンテンツが並存する期間が発生する。DNSの変更が世界中に浸透するまでの「プロパゲーション(伝播)」期間中であっても、メールの配送経路はWebトラフィックとは別の経路を辿る。

TTL(Time to Live)と呼ばれるキャッシュの有効期限を適切に管理すれば、DNSの切り替えに伴う不安定な時間を最小限に抑えられる。メール配信の継続性を確保するには、このレコードの独立性を活用することが基本戦略となる。

メール環境に応じた3つの移行シナリオ

メール環境に応じた3つの移行シナリオ

メールの運用形態によって、移転時に取るべきアプローチは異なる。現在の構成を把握し、自社に最適なシナリオを選択する必要がある。

シナリオ1:外部メールサービスを利用している場合(推奨)

Google WorkspaceやMicrosoft 365といった外部の専用サービスを利用しているケースだ。この場合、メールサーバーはWebホスティングとは完全に切り離されたインフラ上で稼働している。

サイト移転時には、DNSのAレコードのみを新サーバーに向け、MXレコードは一切変更しない。これにより、Webサイトの切り替え作業中も、メールは一切の影響を受けずに稼働し続ける。運用管理の観点からも、最もリスクが低く推奨される構成だ。

シナリオ2:Webサーバーとメールサーバーが同一の場合

多くの共用レンタルサーバーでは、Webとメールがセットで提供されている。この構成でサイトだけを新しい高性能なホスティング(例:マネージドWordPressホスティング)に移転する場合、メールの扱いが複雑になる。

移転先がメールホスティングを提供していない場合、メール機能だけを旧サーバーに残すか、あるいはこの機会に外部メールサービスへ移行するかの選択を迫られる。旧サーバーをメール専用として契約し続けるのはコスト効率が悪いため、移転前にメール環境を独立させるのが定石だ。

シナリオ3:Webとメールのプロバイダを同時に変更する場合

サイト移転と同時にメールサービスも刷新する場合、事前の並行運用期間が不可欠となる。新しいメールプロバイダでアカウントを作成し、DNSに複数のMXレコードを優先度(Priority)を変えて登録する手法が取られる。

ただし、DNSの浸透には最大48時間程度かかる場合がある。その間、一部のメールが旧サーバーに届く可能性があるため、両方のメールボックスを確認できる状態を維持しなければならない。

失敗しないためのMXレコード設定とテスト手法

失敗しないためのMXレコード設定とテスト手法

設定ミスはメールの不達や遅延に直結する。確実な移行を実現するためには、ツールを用いた検証プロセスが重要だ。

サイトプレビュー機能を活用した事前検証

DNSを切り替える前に、新サーバー上でサイトが正しく動作するかを確認する必要がある。多くの高度なホスティングサービスでは、一時的なURL(例:`sitename.example.cloud`)や「サイトプレビューツール」を提供している。

このツールを使えば、本番環境のDNSに影響を与えることなく、WordPressの管理画面操作やフォームの送信テストが可能だ。メール送信フォームが新しいサーバーの環境でも正しく動作し、外部のメールサーバーへリレーされているかを確認しておく。

MXToolbox等によるレコードの整合性チェック

DNSレコードの設定後は、外部の検証ツールを用いて正しく反映されているかを確認する。「MXToolbox」などのサービスを利用すれば、指定したドメインのMXレコードがどのサーバーを指しているか、優先順位は正しいか、設定に不備がないかを瞬時に診断できる。

特に、複数のMXレコードを設定している場合、すべてのサーバーが正しく応答しているかを個別にチェックすることが推奨される。

MXレコード設定でよくあるミスと解決策

MXレコード設定でよくあるミスと解決策

技術的な理解不足から生じる典型的なミスがいくつか存在する。これらを事前に把握しておくことで、トラブルを未然に防ぐことができる。

CNAMEレコードへの指定による配送エラー

MXレコードの配送先(Points To)には、必ずAレコードまたはAAAAレコードを持つ「ホスト名」を指定しなければならない。これをCNAMEレコード(別名レコード)に向けてしまうと、メールサーバー間での名前解決がループしたり、エラーで中断したりする原因となる。

例えば、`mail.example.com` をMXレコードに指定する場合、`mail.example.com` はIPアドレスを直接指すAレコードである必要がある。これを守らないと、一部のメールサーバーからの受信が拒否されるといった、原因特定が難しいトラブルに繋がる。

優先度(Priority)の設定ミスによる遅延

MXレコードには「優先度」という数値が設定される。この数値が「小さい」ほど優先的に使用される仕組みだ。例えば、優先度10のメインサーバーと、優先度20のバックアップサーバーを設定するのが一般的だ。

この数値を誤って同じにしたり、逆転させたりすると、本来バックアップであるはずのサーバーにメールが集中し、処理の遅延や不達を招く。特にGoogle Workspaceのように複数のレコードを指定する場合は、プロバイダが指定する数値を正確に入力しなければならない。

独自の分析:運用の安定性を高める「疎結合」なインフラ構成

独自の分析:運用の安定性を高める「疎結合」なインフラ構成

現代のWeb運用において、Webホスティングとメールサービスを同一のサーバーで運用する「密結合」な構成は、リスク管理の観点から避けるべきだとの見方が強まっている。

Webサイトは頻繁なアップデートやアクセス負荷の変動にさらされるが、メールは極めて高い可用性とセキュリティ、そして確実な到達性が求められる。これらを同じリソースで管理すると、Webサイトのトラブルがメールの停止を招き、逆にメールスパムの踏み台にされることがWebサイトの信頼性を損なうという相互のリスクが生じる。

今回の移転を機に、メールを専用のSaaS(Software as a Service)へ切り出し、Webサイトをパフォーマンス特化型のマネージドホスティングへ移行する「疎結合」なインフラへと再編することが、長期的な運用コストの削減と安定性に寄与すると指摘されている。インフラを機能ごとに分離することで、将来的なサーバー移転や構成変更の柔軟性も大幅に向上するからだ。

この記事のポイント

  • Webサイト(Aレコード)とメール(MXレコード)はDNS上で独立しており、個別に管理が可能だ。
  • 外部メールサービス(Google Workspace等)を利用していれば、サイト移転によるメール停止リスクは極めて低い。
  • 移転前にTTLを短縮し、サイトプレビュー機能を活用することで、DNS切り替え時のトラブルを最小化できる。
  • MXレコードの配送先にCNAMEを使用するのは仕様上の誤りであり、必ずAレコードを指定する必要がある。
  • 将来のメンテナンス性を考慮し、Webとメールのホスティングを切り離した「疎結合」な構成を目指すべきだ。

出典

  • Kinsta Blog「How MX records work during Kinsta migrations」(2026年3月5日)