🌊

【情シス基礎編】なぜ企業内にDNSは複数必要なのか？「本番運用系」を守る社内・社外DNSの使い分け

2026/02/16に公開

「DNSとは、ドメインとIPを紐付ける電話帳のようなもの」

検索すればすぐに出てくるこの答え。しかし、本番運用系 のネットワークを抱える現場に立つと、この「電話帳」が複数存在し、しかも役割が全く違うという事実に混乱させられます。
今回は、弊社の環境を例に、私が実務でぶつかった「DNSの使い分け」のリアルを整理します。

 1. 弊社の環境：隔離された「本番運用系」まず、弊社のネットワークは大きく2つの世界に分かれています。

業務系ネットワーク: PCでWeb閲覧などを行う、日常業務用のNW。

本番運用系ネットワーク: サービス提供に直結する重要なサーバーやNASが鎮座する、堅牢に分離されたNW。
この2つのNWはファイアウォール（FW）で仕切られていますが、業務系PCから本番系のデータを参照するために、一部通信ができるようになっています。

 2. 「社内DNS」が命綱になる理由弊社では本番運用系にあるNASやサーバーにアクセスするために、社内DNSを用意し、それを用いて業務用のPCからアクセスをしています。なぜIP直打ちではなく、DNSが必要なのでしょうか？

 例：メンテナンスとHA（高可用性）への対応必要になってくる一例として捉えてください。

実務では、大事な大事なサーバーは冗長化するHA（High Availability）構成が一般的です。

DNSを使わない場合、仮に冗長を組んでいるサーバーのIPが異なっていると、すべてのPCからのアクセスパスが変更となってしまいます。そんなことは現実的な運用では不可能です。
ほかにも

「サーバーの物理的な入れ替え」や「ネットワークの再編」でIPアドレスが変わる可能性は常にあります。 その際、接続先を「名前」で管理していれば、ユーザー側の設定を一切いじることなく、情シス側の操作だけで接続を維持できる。これがDNSを運用する最大のメリットです。
!補足：HA構成とIPアドレスの関係

HAの仕組みには大きく2パターンあります。

仮想IP（VIP）を使う場合: メイン機が死んでも予備機が「同じIP」を引き継ぐため、DNSの書き換えは不要です。

IPが変わる場合: 予備機が別のIPを持って待機しており、切り替え時にDNSレコードを書き換えて向き先を変えます。

 3. なぜ社外のDNSに書かないのか？（セキュリティリスクの具体例）「社外DNS（全世界公開）に社内サーバーの情報を載せれば、管理が1箇所で済んで楽じゃない？」と考えるのは危険です。社内サーバーの名前やIPをパブリックに晒すことには、以下のような具体的なリスクが伴います。

 ① 攻撃者に「間取り図」を渡してしまう社外DNSで dev-db-01.internal.example.com のような名前が引けてしまうと、攻撃者は社内に潜入する前に以下の情報を得てしまいます。

用途の特定: 「開発用(dev)のデータベース(db)があるな」と目星をつけられる。

OSやバージョンの推測: 命名規則から古いOSで動いているサーバーを特定され、既知の脆弱性を突くターゲットにされる。

 ② 内部ネットワーク構造の露呈IPアドレスが判明することで、社内のセグメント分け（どの部門がどのIP帯を使っているか等）が推測され、FWの穴を探すためのヒントを与えてしまいます。
「外からアクセスできないから大丈夫」ではなく、「攻撃のターゲットを選定するためのヒントを一切与えない」。これが本番運用系を守るための鉄則です。

 4. 深掘り：混同しがちな「3つのDNS」ここで私が一番ごっちゃになったのが、「8.8.8.8（Google）」と「自社の社外DNS」の違いです。先輩から説明を数回受けてやっと理解できました笑

種類
役割
本番運用系での立ち位置

社内DNS
身内専用の電話帳
本番系NASなどの「秘密の住所」を管理。

社外DNS
世界向けの看板
自社HPやSPFレコードなど「公開する情報」を置く場所。

8.8.8.8など
外の世界の案内人
自分が知らない外のサイト（https://www.google.com等）を探してくれる存在。

 パブリックDNS（8.8.8.8等）の正体DNSと調べると出てくるのはこのことじゃないでしょうか？

GoogleなどのパブリックDNSは、自社の情報を管理する場所ではなく、世界中のDNSに問い合わせをしてくれる**「検索代行者（キャッシュリゾルバー）」です。

一方で、自社の社外DNSは「私たちのドメインの情報はこれです」と世界に宣言する「情報の持ち主（権威DNS）」**。この「探す側」と「教える側」の違いを理解するのが第一歩でした。

 5. なぜ片方だけでは成り立たないのか実務では、以下のような「橋渡し」を行っています。
このように、**「社内のことは自分で答え、外のことは8.8.8.8に丸投げする（フォワーダー設定）」**という二段構えにすることで、利便性とセキュリティを両立させています。

 6. まとめ「DNSとは？」で検索して得た知識は、氷山の一角でした。オンプレミスや本番運用系を持つ現場では、「誰にどこまで情報を明かすか」という境界線の設計こそがDNS管理の本質です。

社内DNS: メンテナンス性を守り、身内の情報を隠す。

社外DNS: 世界に自分たちの情報を公開する。

パブリックDNS: 世の中の情報を効率よく探す。
この使い分けを理解すると、社内NWの構造がより理解しやすくなるはずです

フルクラウド環境の方には縁のない話だと思いますが・・・（羨ましい）

種類	役割	本番運用系での立ち位置
社内DNS	身内専用の電話帳	本番系NASなどの「秘密の住所」を管理。
社外DNS	世界向けの看板	自社HPやSPFレコードなど「公開する情報」を置く場所。
8.8.8.8など	外の世界の案内人	自分が知らない外のサイト（https://www.google.com等）を探してくれる存在。

1. 弊社の環境：隔離された「本番運用系」

2. 「社内DNS」が命綱になる理由

例：メンテナンスとHA（高可用性）への対応

3. なぜ社外のDNSに書かないのか？（セキュリティリスクの具体例）

① 攻撃者に「間取り図」を渡してしまう

② 内部ネットワーク構造の露呈

4. 深掘り：混同しがちな「3つのDNS」

パブリックDNS（8.8.8.8等）の正体

5. なぜ片方だけでは成り立たないのか

6. まとめ

Discussion