IT人材のためのキャリアライフスタイルマガジン

Secure DNS導入でSaaSに繋がらない?ホワイトリストとスプリットDNSで解決する例外設計・運用ガイド

更新日:2026年02月24日

ITキャリア

1分でわかるこの記事の要約 Secure DNS導入により特定のSaaSや社内システムへの接続障害が発生するケースがあります。 主な原因は、業務に必要なドメインがDNSフィルタリングの例外設定(ホワイトリスト)から漏れて […]

1分でわかるこの記事の要約
  • Secure DNS導入により特定のSaaSや社内システムへの接続障害が発生するケースがあります。
  • 主な原因は、業務に必要なドメインがDNSフィルタリングの例外設定(ホワイトリスト)から漏れているためです。
  • 業務を止めないためには、信頼できるドメインのホワイトリスト登録と、社内外の名前解決の分離(スプリットDNS)が不可欠となります。
  • Microsoft 365やGoogle Workspaceなど主要SaaSの公式エンドポイント情報を網羅的に設定し、継続的なログ監視と運用が成功の鍵です。

テレワークの普及で導入が進むSecure DNS(セキュアDNS)。しかし、「導入後に特定のSaaSに繋がらない」「VPN経由で社内サーバーにアクセスできない」といったトラブルに悩んでいませんか?その原因は、DNSフィルタリングの「例外設定」が不十分なことかもしれません。本記事では、業務を止めずにセキュリティを最大化するための、Secure DNSの例外設定(ホワイトリスト)の考え方から、具体的な設定例、トラブルシューティングまでを徹底解説します。

なぜSecure DNS導入で業務SaaSや社内ドメインに繋がらなくなるのか?

Secure DNSは強力なセキュリティツールですが、その仕組みを正しく理解せずに導入すると、なぜ通信がブロックされるのか原因がわからず混乱を招きます。まずは、アクセスできなくなる根本的な原因を理解しましょう。

DNSフィルタリングの基本とセキュリティ効果

Secure DNS(DNSフィルタリング)とは、インターネット通信の最初のステップであるDNSクエリ(ドメイン名からIPアドレスへの変換要求)を監視・制御するセキュリティソリューションです。ユーザーがサイトにアクセスしようとすると、そのドメイン名がまずDNSサーバーに問い合わせられます。Secure DNSはこの問い合わせ内容をチェックし、マルウェア配布サイト、フィッシングサイト、C&Cサーバーといった危険なドメインであれば、名前解決をブロックします。

これにより、脅威が社内ネットワークに到達する前に水際で防御できます。この仕組みは、境界線を信頼しない「ゼロトラスト」セキュリティモデルにおいても、エンドポイントを保護する重要な要素です。

アクセスがブロックされる主な3つの原因

業務に必要な通信がブロックされてしまう原因は、主に以下の3つです。

  • ポリシーによる意図しないブロック セキュリティ管理者が設定したフィルタリングポリシーによって、業務上必要なSaaSが「ファイル共有」や「SNS」といった広範なカテゴリに含まれてしまい、意図せずブロックされるケースです。
  • 未知・新規ドメインの誤検知 新しいSaaSや、サービスが利用するCDN(コンテンツデリバリーネットワーク)のドメインがSecure DNSのデータベースに未登録の場合、未知の脅威として誤検知され、アクセスが制限されることがあります。
  • 社内ドメインの名前解決問題(見落としがち) 本来、内部DNSで解決すべき社内ドメイン(例: fileserver.local)への問い合わせが、誤ってインターネット上のSecure DNSに送られてしまうケースです。当然ながら名前解決に失敗し、「アクセスできない」事態に陥ります。これは特にVPNを利用したリモートアクセス環境で頻発する課題です。

業務を止めないためのSecure DNS例外設計【3つの基本方針】

こうした問題を未然に防ぎ、スムーズな運用を実現するためには、導入前の「例外設計」が極めて重要になります。ここでは、その基本となる3つの方針を解説します。

1. 「許可リスト(ホワイトリスト)」の活用

DNSフィルタリングには、危険なものを拒否する「ブラックリスト方式」と、安全なものだけを許可する「ホワイトリスト方式」があります。業務影響を避けるためには、信頼できる業務SaaSやパートナー企業のドメインをあらかじめ「ホワイトリスト」に登録し、フィルタリング対象から除外するアプローチが不可欠です。

最初のステップとして、社内で利用しているクラウドサービスやSaaSを棚卸しし、リスト化しましょう。 このリストに基づいて許可ポリシーを作成することで、導入直後の混乱を最小限に抑えられます。

2. 社内ドメインと外部ドメインの名前解決を正しく分離する(スプリットDNS)

テレワーク環境では、社内リソース(内部ドメイン)とインターネット(外部ドメイン)へのアクセスが混在します。この2つの名前解決を正しく分離する設計が重要です。

具体的には、VPN接続時には社内ドメインのDNSクエリは社内DNSサーバーへ、それ以外の外部ドメインのクエリはSecure DNSへと振り分ける「スプリットDNS」を構築します。これにより、リモートワーカーもオフィスにいるのと同様に、シームレスに社内システムへ接続できるようになります。

3. テレワーク環境を考慮したポリシー設計

従業員がオフィス、自宅、外出先など様々な場所から接続する現代では、一律のポリシー適用は現実的ではありません。状況に応じた動的な制御が求められます。

  • オフィス内:比較的緩やかなフィルタリングを適用
  • 社外からのリモートアクセス時:より厳格なポリシーを適用

このように、VPN接続の有無や接続元のIPアドレスに応じて適用ポリシーを切り替えられる、柔軟なSecure DNS製品を選ぶことも重要なポイントです。


【実践編】SaaS・社内ドメイン別の具体的な例外設定例

ここでは、多くの企業で利用されているサービスを対象に、具体的な例外設定のポイントを解説します。

Microsoft 365 / Google Workspaceなどの主要SaaS

Microsoft 365やGoogle Workspaceは、多数の機能を提供するため、非常に多くのドメインを利用します。円滑な利用のためには、公式に提供されている「エンドポイント情報(ドメイン名やIPアドレス範囲のリスト)」を網羅的にホワイトリストへ登録することが推奨されます。

例えばMicrosoft 365では、「*.sharepoint.com」「*.teams.microsoft.com」のようにワイルドカードを使い、関連サブドメインをまとめて許可設定すると効率的です。これらのリストは頻繁に更新されるため、定期的に公式サイトを確認し、自社の許可リストへ反映させる運用プロセスを確立しましょう。

Salesforce, AWS, Azureなどクラウドプラットフォーム

SalesforceのようなCRMや、AWS、AzureといったIaaS/PaaSも、動的にIPアドレスが変化したり、API連携で多数のエンドポイントを利用したりします。特に、アプリがバックグラウンドで通信するAPIエンドポイントは見落とされがちです。

これらのプラットフォームも、公式ドキュメントで公開されているドメインリストやIPアドレス範囲を確認し、例外設定に加えましょう。 また、SaaS間のデータ連携(例: Salesforceと外部MAツール)で利用されるドメインも忘れずに洗い出すことが安定稼働の鍵です。

社内システム(ファイルサーバー、基幹システムなど)

プライベートIPアドレスを持つ社内ドメインへのアクセスは、Secure DNSのフィルタリング対象から明確に除外する必要があります。これは前述のスプリットDNSの設計と密接に関連します。

VPNクライアントやOSのネットワーク設定で、社内ドメイン(例: .corp.local)に関する問い合わせが、社内DNSサーバーに直接送られるように構成してください。これにより、名前解決の失敗による接続エラーを根本から解決できます。設定が正しいかは、VPN接続時にnslookupコマンドで社内サーバーの名前解決ができるか確認しましょう。


主要Secure DNS製品における例外設定機能の比較

市場には様々なSecure DNS製品があり、機能や柔軟性が異なります。代表的な3つのサービスの特徴を見ていきましょう。

Cisco Umbrella

  • 特徴: 企業向けSecure DNSの先駆けで、きめ細かなポリシー設定が可能。Active Directoryと連携し、ユーザー・グループ単位でポリシーを適用できます。
  • 例外設定: 「デスティネーションリスト」機能で、許可(ホワイトリスト)・ブロック(ブラックリスト)リストを個別に管理。組織全体のガバナンスと部署ごとの柔軟な運用を両立できます。

Zscaler (ZIA)

  • 特徴: SASEプラットフォームの中核としてDNSセキュリティを提供。DNS制御はURLフィルタリングやクラウドファイアウォールと緊密に統合されています。
  • 高度な制御: 「特定のSaaSへのアクセスは許可するが、ファイルのアップロードは禁止する」といった高度な制御が可能。クラウドアプリ単位での制御ポリシーも豊富で、Microsoft 365などにも最適化しやすいのが特徴です。

Cloudflare Gateway

  • 特徴: 広範なグローバルネットワークを活用したDNSフィルタリングサービス。DoH/DoTといった暗号化プロトコルに標準対応し、プライバシー保護とセキュリティを両立できます。
  • 設定: シンプルで直感的なポリシー作成が可能。デバイス単位でのポリシー適用も可能なため、ゼロトラストアーキテクチャを目指す企業にとって有力な選択肢です。

導入後の運用とトラブルシューティング

例外設定は一度行ったら終わりではありません。継続的な運用と、迅速なトラブルシューティング体制が不可欠です。

DNSフィルタリングのログ監視と分析

ほとんどのSecure DNS製品は、ブロックしたクエリを含む全ログの記録・分析機能を提供しています。ログを定期的に監視し、業務に必要な通信が誤ってブロックされていないか(誤検知)を確認しましょう。ブロックされたドメインに業務SaaSのものが含まれていれば、速やかにホワイトリストに追加する対応が必要です。

「アクセスできない」報告を受けた際の切り分け手順

ユーザーから「SaaSに接続できない」という報告があった場合、以下の手順で原因を切り分けましょう。

  1. ヒアリング: 誰が(特定のユーザーか全員か)、何に(特定のSaaSか)、いつからアクセスできないかを確認。
  2. ログの確認: Secure DNSの管理画面で、該当ユーザーからのDNSクエリがブロックされていないかログを確認。
  3. コマンドでの確認: ユーザーのPCでnslookup [アクセスできないドメイン名]を実行し、名前解決が正しく行われているか確認。エラーが出る場合、DNSフィルタリングが原因の可能性が高いです。
  4. 一時的なポリシー変更: 原因特定のため、一時的に該当ユーザーのフィルタリングポリシーを無効化し、アクセスが回復するか試す。これで解決すれば、ポリシーの見直しが必要です。

この手順を確立しておくことで、問題発生時に迅速かつ的確な対応が可能になります。


まとめ:成功の鍵は事前の計画と継続的な運用

Secure DNSは、マルウェアやフィッシングから従業員と情報を守る効果的な対策です。しかし、強力なフィルタリング機能は、時に業務に必要な通信までブロックする諸刃の剣にもなります。

導入成功の鍵は、業務で利用するSaaSや社内ドメインを事前に洗い出し、適切な「例外設計」を行うことにあります。ホワイトリストを活用し、社内外の名前解決を正しく分離する。そして、導入後もログを監視し、ビジネスの変化に合わせてポリシーを継続的に見直していく。このプロセスを計画的に実行することで、Secure DNSはセキュリティと利便性を両立させる強力な味方となるのです。

まずは自社で利用しているクラウドサービスの一覧を作成し、現在のDNS設定がビジネスの実態に即しているか、見直すことから始めてみましょう。


よくある質問(FAQ)

Q1: ホワイトリストに登録すべきドメインは、どうすれば網羅的に見つけられますか?

  • A1: 複数の方法があります。①情報システム部が把握している公式導入SaaSをリストアップする、②プロキシやファイアウォールのログを分析し、実際のアクセス先ドメインを洗い出す、③Secure DNS導入初期のブロックログから必要なものを特定する、といったアプローチが有効です。Microsoft 365などの主要SaaSは、ベンダーが公開している公式エンドポイントリストを参照するのが最も確実です。

Q2: VPN接続時だけ社内ドメイン(例: intranet.local)にアクセスできません。原因は何ですか?

  • A2: VPNクライアントのDNS設定が正しくなく、社内ドメインへの問い合わせが社内DNSサーバーではなく、インターネット上のSecure DNSに送られている可能性が高いです。VPNの接続プロファイルで、社内ドメインに関するDNSクエリが社内DNSサーバーへ向かうように、スプリットDNSの設定を見直してください。

Q3: ホワイトリストに登録するドメインが多すぎると、セキュリティレベルが低下しませんか?

  • A3: はい、無条件に多くのドメインを許可するとリスクを高める可能性があります。重要なのは、許可するドメインを信頼できるものに限定することです。MicrosoftやGoogle、Salesforceなど業務に必須のSaaSベンダー提供のドメインに絞り込み、可能な限り具体的なドメイン(例: api.service.com)を指定しましょう。リスクと利便性のバランスを取りながら、定期的にホワイトリストを見直し、不要なドメインを削除する運用がセキュリティレベルの維持に繋がります。
この記事のまとめ
  • Secure DNSはマルウェアやフィッシング対策に有効ですが、導入には業務SaaSや社内ドメインへの影響を考慮した「例外設計」が不可欠です。
  • 信頼できるドメインを登録する「ホワイトリスト」の活用と、社内外の名前解決を分離する「スプリットDNS」が業務停止を防ぐ鍵となります。
  • Microsoft 365など主要SaaSの公式エンドポイントリストを定期的に確認し、更新する運用体制を確立しましょう。
  • 導入後もログ監視を継続し、誤検知対応やポリシーの見直しを行うことで、セキュリティと利便性を両立した運用が可能になります。
  • まずは利用中のクラウドサービスを棚卸し、適切なDNS設定への見直しから始めることを推奨します。

マモリスのご紹介

マモリス(Mamoris)は、企業の情報資産を守るためのセキュリティサービスです。
端末上の操作や各種ログをもとに、社内不正や情報漏えいにつながりやすいリスクの“兆し”を可視化し、状況に応じた対策につなげます。
セキュリティと業務効率のバランスを大切にしながら、現場で運用しやすい形で「見える化 → 判断 → 改善」を進められるのが特長です。
詳しくは公式サイトをご覧ください:mamoris-secure.com
初回公開日:2026年02月24日

記載されている内容は2026年02月24日時点のものです。現在の情報と異なる可能性がありますので、ご了承ください。また、記事に記載されている情報は自己責任でご活用いただき、本記事の内容に関する事項については、専門家等に相談するようにしてください。

関連する記事

アクセスランキング