コンテンツにスキップ

1.1.1.1 パブリック DNS リゾルバー

最終更新日: 2024年3月27日

Cloudflare のプライバシーへの取り組み: 1.1.1.1 パブリック DNS リゾルバー

1.1.1.1 パブリック DNS リゾルバーは、私たちの プライバシーポリシー に基づいて運営されています。この文書は、1.1.1.1 パブリック DNS リゾルバーから収集される情報の収集、使用、および開示に関する追加の詳細を提供します。

インターネット上のほぼすべてのことは、DNS リクエストから始まります。DNS はインターネットのディレクトリです。リンクを選択したり、アプリを開いたり、メールを送信したりすると、最初にあなたの電話やコンピュータがディレクトリに尋ねます: これはどこで見つけられますか?

残念ながら、デフォルトでは、DNS は通常遅くて安全ではありません。あなたの ISP やインターネット上で傍受している他の誰かは、あなたが訪れるすべてのサイトや使用するすべてのアプリを見ることができます — たとえその内容が暗号化されていても。気味が悪いことに、一部の DNS プロバイダーはあなたのインターネット活動に関するデータを販売したり、それを使って広告でターゲットを絞ったりします。

現在の状況を考慮して、Cloudflare はあなたのプライバシーとセキュリティを念頭に置いて DNS リゾルバーを作成しました。Cloudflare は APNIC と提携し、ユーザーのプライバシーとセキュリティを重視した再帰的 DNS サービスである 1.1.1.1 パブリックリゾルバーを運営しています。私たちのパブリックリゾルバーに送信された DNS リクエストは、安全なチャネルを介して送信されることができ、不要なスパイ行為や中間者攻撃の可能性を大幅に減少させます。

1.1.1.1 パブリック DNS リゾルバーはプライバシーを最優先に設計されており、Cloudflare は以下のことを約束します:

  1. Cloudflare は、パブリックリゾルバーのユーザーの個人データを第三者に販売または共有せず、パブリックリゾルバーからの個人データを使用してユーザーに広告をターゲットすることはありません。
  2. Cloudflare は、要求されている情報のみを保持または使用し、誰がそれを要求しているかを特定する情報は保持しません。Cloudflare のネットワークインフラストラクチャに送信されたすべてのトラフィックの最大 0.05% からランダムにサンプリングされたネットワークパケットを除き、Cloudflare はパブリックリゾルバーへの DNS クエリからのソース IP を不揮発性ストレージに保持しません。これらのランダムにサンプリングされたパケットは、ネットワークのトラブルシューティングと DoS 緩和の目的のみに使用されます。
  3. パブリックリゾルバーのユーザーの IP アドレス(クライアントまたはソース IP アドレスと呼ばれる)は、不揮発性ストレージに保存されません。Cloudflare は、IP トランケーション手法(IPv4 の最終オクテットおよび IPv6 の最終 80 ビット)を使用してソース IP アドレスを匿名化します。Cloudflare は、トランケートされた IP アドレスを 25 時間以内に削除します。
  4. Cloudflare は、パブリックリゾルバーの正当な運用と研究目的のために、以下に示す限られたトランザクションおよびデバッグログデータ(「パブリックリゾルバーログ」)のみを保持し、Cloudflare はパブリックリゾルバーログを 25 時間以内に削除します。
  5. Cloudflare は、APNIC に対する研究協力契約に基づいて、パブリックリゾルバーログを第三者と共有することはありません。APNIC は、パブリックリゾルバーログ内の匿名化されたデータを照会し、DNS システムの運用に関連する研究を行うために限られたアクセスを持つことができます。

Cloudflare は、ユーザーの情報を保持できないように技術的な手段を講じています。

また、私たちは、私たちの実践を監査し、私たちが言ったことを実行していることを確認する公的な報告書を発表するために、四大監査法人の一つを雇っています。この報告書は、認証およびコンプライアンスリソース ページで入手できます。

APNIC との限定的なデータ共有

Cloudflare は、アジア太平洋地域の地域インターネットレジストリである APNIC Labs と提携し、1.1.1.1 IP アドレスを Cloudflare パブリック DNS リゾルバーの本拠地としています。APNIC は、グローバルでオープンかつ安全なインターネットを確保するという使命の一環として、インターネットの機能とガバナンスに関する研究を行い、その結果を www.apnic.net に掲載しています。

Cloudflare は、Cloudflare パブリック DNS リゾルバーを通じて収集した一部の匿名化されたデータへのアクセスを APNIC に提供することに同意しました。具体的には、APNIC は、クエリ名、クエリタイプ、リゾルバーの場所、およびその他のメタデータにアクセスすることが許可され、これにより APNIC はインターネット上での DDoS 攻撃のボリュームや IPv6 の採用状況などのトピックを研究することができます。

APNIC Labs は、そのようなデータを非営利の運用研究に使用します。Cloudflare のプライバシーへの取り組みの一環として、Cloudflare は APNIC にクライアントに関連する IP アドレスへのアクセスを提供しません。

APNIC 以外の第三者と Cloudflare はパブリックリゾルバーログを共有しません。

パブリックリゾルバーログのデータ

私たちが保存するパブリックリゾルバーログは、以下のフィールドで構成されています:

  • answerData type
  • answerData
  • coloID (ユニークな Cloudflare データセンター ID)
  • date
  • dateTime
  • dstIPVersion
  • dstIPv6
  • dstIPv4
  • dstPort
  • ede
  • ednsVersion
  • ednsPayload
  • ednsNsid
  • feature.uid
  • feature.value
  • metalId (ユニークな Cloudflare データセンター ID)
  • ns ip
  • ns name
  • protocol
  • queryName
  • queryType
  • queryClass
  • queryRd
  • queryDo
  • querySize
  • queryEdns
  • queryCd
  • responseType
  • responseCode
  • responseSize
  • responseCount
  • responseTimeMs
  • responseCached
  • responseMinTTL
  • reused
  • srcAsNum
  • srcCountry
  • srcIPVersion
  • validationState

さらに、再帰的リゾルバーは、DNS 階層内のさまざまな権威あるネームサーバーに対して外部クエリを実行し、それがサブリクエストフィールドに記録されます。これらのログは、私たちのパブリック DNS リゾルバーサービスの運用とデバッグに使用されます。

以下のサブリクエストデータがパブリックリゾルバーログに含まれています:

  • subrequest.ipv6 (権威あるネームサーバー)
  • subrequest.ipv4 (権威あるネームサーバー)
  • subrequest.protocol
  • subrequest.durationMs
  • subrequest.queryName
  • subrequest.queryType
  • subrequest.responseCode
  • subrequest.responseCount
  • subrequest.recordType
  • subrequest.recordData
  • subrequest.error

パブリックリゾルバーログからの限られたサンプルデータ(トランケートされた IP アドレスを含まない)は、以下に記載された集計データを生成するために使用されますが、Cloudflare がその情報を受け取った後、すべてのパブリックリゾルバーログは 25 時間以内に削除されます。

Cloudflare は以下の集計を行うことがあります:

  • Cloudflare データセンターによる異なるプロトコル設定(例:tcp/udp/dnssec)でのクエリの総数。
  • Cloudflare データセンターによる異なるプロトコル設定での応答コード/時間の分位数。
  • Cloudflare データセンターによって処理されたリクエストの総数。
  • 要求されたすべてのドメイン名の集計リストと、地域ごとのリクエストの集計数および最初に要求されたタイムスタンプ。
  • ユニークなクライアントの数、IPv4 でのクエリ、IPv6 でのクエリ、RD ビットが設定されたクエリ、DNSSEC を要求するクエリ、無効な DNSSEC 応答の数、クエリのタイプごとの数、各応答コードの応答数、応答時間の分位数(例:50 パーセンタイル)、応答 TTL、およびプロトコル(HTTPS/UDP/TCP/TLS)、地域、Cloudflare データセンター、自治システム番号ごとのキャッシュされた応答の数。
  • クエリの数、EDNS のあるクエリの数、応答のバイト数と時間の分位数(例:50 パーセンタイル)を日、月、Cloudflare データセンター、IPv4 対 IPv6 ごとに。
  • クエリの数、応答コード、および応答コードの分位数(例:50 パーセンタイル)を日、地域、名前、タイプごとに。

Cloudflare は、Cloudflare Radar を強化し、Cloudflare サービスの改善を支援するために、上記のデータを無期限に保存することがあります。これには、Cloudflare リゾルバーの全体的なパフォーマンスを向上させ、セキュリティの脅威を特定することが含まれます。

コンテンツブロックのリクエストについては?

Cloudflare は、1.1.1.1 パブリック DNS リゾルバーを通じてコンテンツをブロックまたはフィルタリングすることはありません。これは、直接的で迅速な DNS 解決のために設計されており、コンテンツのブロックやフィルタリングのためではありません。Cloudflare は、家庭のネットワークを保護するために設計された 1.1.1.1 for Families を通じて、マルウェアや成人向けコンテンツをブロックおよびフィルタリングします。

一般的に、Cloudflare は、DNS レベルでコンテンツをブロックするための政府または市民からのリクエストを非効率的で無駄だと見なしています。そのようなブロックは、リゾルバーのすべてのユーザーに対してグローバルに適用されるため、ブロックを行う政府の管轄外にいるエンドユーザーにも影響を与えます。したがって、1.1.1.1 パブリック DNS リゾルバーや 1.1.1.1 for Families を通じてコンテンツをブロックするための政府のリクエストは、グローバルにコンテンツをブロックするリクエストとして評価されるべきです。

広範な域外効果を考慮して、Cloudflare が法執行機関や政府機関から、1.1.1.1 パブリック DNS リゾルバーを通じてドメインやコンテンツへのアクセスをブロックするための書面によるリクエストを受け取った場合、または 1.1.1.1 for Families を通じてフィルタリングの範囲外のドメインやコンテンツへのアクセスをブロックするためのリクエストを受け取った場合、Cloudflare はそのリクエストに従う前に法的手段を講じます。また、法的に禁止されていない限り、政府からのアクセスブロックのリクエストを半期ごとの透明性報告書に記録することを約束します。

Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings