翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # マネージドドメインリスト マネージドドメインリストには、悪意のあるアクティビティやその他の潜在的な脅威に関連するドメイン名が含まれています。Route 53 VPC Resolver のお客様は、DNS Firewall の使用時にアウトバウンド DNS クエリを無料でチェックできるように、これらのリスト AWS を維持します。 絶えず変化する脅威の状況に遅れずについていくには、時間とコストがかかることがあります。マネージドドメインリストを使用すると、DNS Firewall を実装して使用する時間を短縮できます。 は、新しい脆弱性や脅威が発生したときにリスト AWS を自動的に更新します。 AWS は、公開前に新しい脆弱性の通知を受け取ることが多いため、DNS Firewall は、新しい脅威が広く知られる前に緩和策をデプロイできます。 マネージドドメインリストは、一般的なウェブの脅威からユーザーを保護するためのサポートを提供するように設計されており、アプリケーションに別のセキュリティレイヤーを追加します。 AWS Managed Domain Lists は、内部 AWS ソースと [ RecordedFuture](https://partners.amazonaws.com/partners/001E000001V9CaHIAV/Recorded%20Future) の両方からデータを取得し、継続的に更新されます。ただし、 AWS マネージドドメインリストは、選択した AWS リソースによって決定される Amazon GuardDutyなどの他のセキュリティコントロールに代わるものではありません。 ベストプラクティスとして、本番稼働環境でマネージドドメインリストを使用する前に、ルールアクションを `Alert` に設定して、非本稼働環境でテストを行います。Amazon CloudWatch メトリクスと Resolver DNS Firewall サンプルリクエストまたは DNS Firewall ログを組み合わせてルールを評価します。ルールが希望通りであることを確認したら、必要に応じてアクション設定を変更します。 **使用可能な AWS マネージドドメインリスト** このセクションでは、DNS Firewall Foundational ルールで現在利用可能なマネージドドメインリストについて説明します。これらのリストがサポートされているリージョンにいる場合、ドメインリストの管理やルールのドメインリストの指定を行う際、コンソールに表示されます。ログでは、ドメインリストは `firewall_domain_list_id`フィールド内に記録されます。 AWS は、Resolver DNS Firewall のすべてのユーザーに対して、利用可能なリージョンの Foundational ルールタイプで次の Managed Domain Lists を提供します。 | 脅威タイプ | 説明 | | --- | --- | | Malware | マルウェアの送信、マルウェアのホスティング、またはマルウェアの配布に関連するドメイン。 | | ボットネット/コマンドとコントロール | スパムマルウェアに感染したコンピュータのネットワークの制御に関連するドメイン。 | | 脅威リストの集約 | マルウェア、ランサムウェア、ボットネット、スパイウェア、DNS トンネリングなど、複数の DNS 脅威カテゴリに関連付けられているドメインは、複数のタイプの脅威をブロックするのに役立ちます。集約脅威リストには、ここにリストされている他の AWS マネージドドメインリストのすべてのドメインが含まれます。 | | Amazon GuardDuty 脅威リスト | Amazon GuardDuty DNS セキュリティ検出結果に関連付けられたドメイン。ドメインは GuardDuty の脅威インテリジェンスシステムのみから取得されており、外部のサードパーティーのソースから取得されたドメインは含まれません。より具体的には、現在、このリストは内部的に生成され、GuardDuty で次の検出に使用される次のドメインのみをブロックします: Impact:EC2/AbusedDomainRequest.Reputation、Impact:EC2/BitcoinDomainRequest.Reputation、Impact:EC2/MaliciousDomainRequest.Reputation、Impact:Runtime/AbusedDomainRequest.Reputation、Impact:Runtime/BitcoinDomainRequest.Reputation、Impact:Runtime/MaliciousDomainRequest.Reputation。詳細については、「Amazon GuardDuty ユーザーガイド」の「[検出結果タイプ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html)」を参照してください。 | AWS マネージドドメインリストはダウンロードまたは参照できません。知的財産を保護するために、 AWS マネージドドメインリスト内の個々のドメイン仕様を表示または編集することはできません。この制限はまた、悪意のあるユーザーが具体的に公開されているリストを避けて脅威を作り出すことを防ぐのにも役立ちます。 **マネージドドメインリストをテストするには** マネージドドメインリストのテスト用に、以下のドメインセットが用意されています。 **AWSManagedDomainsBotnetCommandandControl** + controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com + controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com + controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com **AWSManagedDomainsMalwareDomainList** + controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com + controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com + controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com **AWSManagedDomainsAggregateThreatList および  AWSManagedDomainsAmazonGuardDutyThreatList** + controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com + controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com + controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com これらのドメインは、ブロックされなければ 1.2.3.4 に解決されます。マネージドドメインリストを VPC で使用すると、これらのドメインをクエリしたとき、(例えば NODATA で) ルール内のブロックアクションが設定されているレスポンスが返されます。 マネージドドメインリストの詳細については、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)にお問い合わせください。 次の表に、 AWS マネージドドメインリストのリージョンの可用性を示します。 **利用可能なマネージドドメインリストのリージョン** | リージョン | マネージドドメインリストを利用できますか? | | --- | --- | | アフリカ (ケープタウン) | はい | | アジアパシフィック (香港) | はい | | アジアパシフィック (ハイデラバード) | はい | | アジアパシフィック (ジャカルタ) | はい | | アジアパシフィック (マレーシア) | はい | | アジアパシフィック (メルボルン) | はい | | アジアパシフィック (ムンバイ) | はい | | アジアパシフィック(大阪)リージョン | はい | | アジアパシフィック (ソウル) | あり | | アジアパシフィック (シンガポール) | あり | | アジアパシフィック (シドニー) | はい | | アジアパシフィック (タイ) | はい | | アジアパシフィック (東京) | はい | | Canada (Central) Region | はい | | カナダ西部 (カルガリー) | はい | | Europe (Frankfurt) Region | はい | | 欧州 (アイルランド) リージョン | はい | | Europe (London) Region | はい | | 欧州 (ミラノ) | はい | | 欧州 (パリ) リージョン | はい | | 欧州 (スペイン) | はい | | 欧州 (ストックホルム) | はい | | 欧州 (チューリッヒ) | はい | | イスラエル (テルアビブ) | はい | | 中東 (バーレーン) | はい | | 中東 (アラブ首長国連邦) | はい | | 南米 (サンパウロ) | はい | | 米国東部(バージニア北部) | あり | | 米国東部 (オハイオ) | あり | | 米国西部 (北カリフォルニア) | あり | | 米国西部 (オレゴン) | はい | | 中国 (北京) | はい | | 中国 (寧夏) | はい | | AWS GovCloud (US) | はい | **セキュリティに関するその他の考慮事項** AWS マネージドドメインリストは、一般的なウェブ脅威からユーザーを保護するように設計されています。ドキュメントに従って使用した場合、これらのリストはアプリケーションに別のセキュリティレイヤーを追加します。ただし、マネージドドメインリストは、選択した AWS リソースに伴うセキュリティコントロールに代わるものではありません。のリソースが適切に保護されていることを確認するには、 AWS [「 責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)」のガイダンスを参照してください。 **誤検出シナリオの軽減** マネージドドメインリストを使用してクエリをブロックするルールで誤検出のシナリオが発生した場合は、次の手順を実行します。 1. VPC Resolver ログで、誤検出の原因となっているルールグループとマネージドドメインリストを特定します。これを行うには、DNS Firewall がブロックしているが、通過を許可するクエリのログを見つけます。ログレコードには、ルールグループ、ルールアクション、マネージドリストが一覧表示されます。ログの詳細については、「[VPC Resolver クエリログに表示される値](resolver-query-logs-format.md)」を参照してください。 1. ブロックしたクエリを明示的に許可するルールグループに新しいルールを作成します。ルールを作成するときに、許可するドメイン仕様のみを使用して、独自のドメインリストを定義できます。[ルールグループおよびルールの作成](resolver-dns-firewall-rule-group-adding.md) のルールグループおよびルールの管理に関するガイダンスに従ってください。 1. ルールグループ内で新しいルールの優先度を設定して、そのルールをマネージドリストを使用しているルールの前に実行できるようにします。これを行うには、新しいルールの優先順位の数値を小さく設定します。 ルールグループを更新すると、ブロックルールが実行される前に、許可するドメイン名が新しいルールによって明示的に示されます。