はじめに
この記事の目的
本記事は、CDN(コンテンツデリバリネットワーク)におけるバインディングドメイン(カスタムドメイン)の仕組みや設定、関連する技術的ポイントとセキュリティ上の注意点を分かりやすくまとめます。専門用語は最小限にして、具体例を交えて説明します。
誰に向けて書いたか
ウェブ担当者、運用エンジニア、ドメイン管理を始めた方を主な想定読者とします。技術に詳しくない方でも理解できるよう配慮しています。
読み方の案内
まずはCDNの基本と用語の整理を行い、続いてカスタムドメインの仕組み、設定手順、セキュリティや運用上の注意点を順に説明します。実際の設定例や注意点は途中の章で丁寧に扱います。
本記事の範囲
CDNの一般的な概念と設定手順を中心に説明します。プロバイダ固有の操作や最新のサービス仕様は各章で触れますが、固有の手順は一例として示します。
CDNとは何か
概要
CDN(コンテンツデリバリネットワーク)は、画像や動画、HTML・CSS・JavaScriptなどのウェブコンテンツを速く安定して届ける仕組みです。オリジンサーバー(元のサーバー)からコピーを作り、世界中に置かれた「エッジ」サーバーに保存します。ユーザーは地理的に近いエッジから受け取るため表示が速くなります。
仕組みの簡単な説明
- ユーザーがページをリクエストすると、DNSやルーティングで近いエッジに誘導されます。
- エッジに目的のファイルがあればそこから配信します(キャッシュヒット)。なければオリジンから取得してキャッシュします(キャッシュミス)。
主な利点と具体例
- 表示速度向上:画像や動画を近くから配信するためページ表示が速くなります。例えば写真共有サイトで効果が分かりやすいです。
- 負荷分散・信頼性:アクセスが集中してもエッジで分散して受け止めます。イベント配信やECのセール時に有効です。
- 帯域節約:オリジンへの通信を減らせます。大量の静的ファイル配信でコスト削減につながります。
注意点(簡潔に)
動的な個別生成コンテンツはキャッシュしにくい点に注意してください。キャッシュの有効期限設定やSSL設定、キャッシュ無効化の仕組みも運用で重要です。
CDNとバインディングドメイン(カスタムドメイン)の関係
概要
CDNにバインドするドメインは、自分のウェブサイトで使いたい独自の名前(例:cdn.example.com)をCDN側に登録して配信を委ねる仕組みです。これでユーザーは自社ドメインでコンテンツを受け取れます。
何をするか(具体例)
- 独自ドメイン(cdn.example.com)をCDNの管理画面に登録します。
- DNSでそのサブドメインをCDNが示すアドレスに向けます(通常はCNAMEレコード)。
- CDNがキャッシュや配信を担当します。
設定の流れ(簡潔)
- CDNにカスタムドメインを追加
- DNSでCNAMEを設定(またはAレコードの指示に従う)
- SSL証明書を発行・適用
- オリジン(元のサーバ)をCDNに登録
SSLと名前解決について
カスタムドメインで安全に配信するにはSSLが必要です。多くのCDNは自動で証明書を発行しますが、手動で用意する場合は証明書名がドメイン名と一致するか確認してください。DNSの伝播を待てば、ユーザーはCDN経由でコンテンツを受け取れます。
実務上の注意点
- CNAMEチェーンやDNS TTLにより反映時間が変わります。
- クッキーや認証が関わる場合、オリジン設定に注意してください。
- キャッシュ設定とヘッダを適切に管理し、意図しない古いコンテンツ配信を防ぎます。
FQDNとCDNにおける役割
FQDNとは何か
FQDN(完全修飾ドメイン名)は「ホスト名.ドメイン名.TLD」の形で一意にサーバーやサービスを示します。たとえば「www.example.com」や「static.example.com」がFQDNです。日常的にはサブドメイン名を含めて特定の場所を指すために使います。
CDNでの使われ方
CDNにカスタムドメインをバインドするとき、多くはFQDNを指定します。CDNは受け取ったFQDNを見てどの配信設定や証明書を使うか判断します。たとえば「static.example.com」をCNAMEでCDNに向けると、そのFQDN用の配信設定が適用されます。
TLS/証明書との関係
TLS証明書はFQDN単位で発行されます。ワイルドカード証明書(*.example.com)は複数のサブドメインに対応できますが、ルートドメイン(example.com)は別途必要です。CDNはSNIを使って接続時に適切な証明書を選びますので、正しいFQDN登録が重要です。
DNS設定と注意点
注意点として、ルートドメインはCNAMEを使えないことが多い点があります。その場合はALIAS/ANAMEやAレコードで対応します。さらに、FQDNをCDNに登録したらDNSのTTLや検証(TXTレコードやCNAME検証)を確認してください。
実務上の具体例
・静的配信用: static.example.com をCDNにCNAMEで向け、オリジンは storage.example.com
・WWW対応: www.example.com と example.com の両方を考え、証明書とDNSを揃える
これらを正しく設定すると、CDNはFQDNごとに安全で高速な配信を行えます。
CDNにおけるセキュリティリスクとドメインフロンティング
はじめに
CDNとドメインの関係にはセキュリティの落とし穴があります。代表的なのがドメインフロンティングです。ここでは仕組みと実務上の対策を分かりやすく説明します。
ドメインフロンティングとは
ドメインフロンティングは、TLSのSNIヘッダとHTTPのHostヘッダに異なるドメイン名を入れて通信先を偽る手法です。表向きは正規のドメインに見えますが、実際は別のサーバへつながります。例えば、公的なCDNドメインでTLS接続を開始し、HTTPのHostを攻撃者のコントロールするドメインにするケースです。
なぜ問題になるか(具体例)
監視やフィルタリングはSNIや接続先ドメインを基に行うことが多いです。ドメインフロンティングはこれを潜り抜け、マルウェアの指令サーバ(C&C)や不正配信の隠蔽に使われる恐れがあります。
対策と運用上の注意
- SNIとHostの整合性チェックを有効にすること。多くのCDN事業者は既に対応しています。
- カスタムドメインを使う場合は、証明書とバインド設定を厳格に管理してください。
- CDN側で異常なホスト名やパターンを検出するルールを追加する。ログを保存して突合しやすくしてください。
- オリジン側でも受け入れるHostのホワイトリストを設定し、不正なHostは拒否してください。
これらを組み合わせれば、ドメインフロンティングのリスクを大幅に減らせます。運用時はログや証明書の管理を習慣化してください。
CDN終端とオリジン終端の違い
概要
HTTPS(TLS)通信では、どこで暗号化を解除するかが重要です。CDN終端は配信側(CDN)がTLSを終了し、オリジン終端はバックエンド(オリジン)がTLSを終了します。どちらを選ぶかで証明書管理やセキュリティ、性能に違いが出ます。
主な違い(簡単な比較)
- CDN終端:クライアント→CDNでTLSを終了、CDN→オリジンは平文または再暗号化。CDNが証明書を持ちます。
- オリジン終端:CDNはTLSを透過または中継し、オリジンがTLSを終了します。オリジン側で証明書を管理します。
証明書管理と運用負荷
CDN終端ではCDN側に公開ドメイン用の証明書が必要です。多くのCDNは自動発行やカスタム証明書のアップロード機能を持ちます。オリジン終端の場合はオリジンで証明書を用意し、CDNはSNIでその証明書に接続します。
性能とキャッシュの観点
CDNがTLSを終端すると、TLSハンドシェイクはエッジで終わるため遅延が減ります。CDNは暗号化を解除後にコンテンツのキャッシュや最適化を行いやすくなります。オリジン終端では端末からオリジンまで暗号化が保たれますが、遅延やオリジン負荷が増すことがあります。
セキュリティ上の注意点
CDN終端はエッジで平文になる区間が生じる場合があります。内部ネットワークが信頼できるなら問題は小さいですが、オリジン間もTLSで再暗号化する運用が望ましいです。ログやヘッダ(X-Forwarded-Forなど)の扱いも確認してください。
具体例
- 例1(CDN終端):www.example.com の証明書をCDNに設定し、CDNがTLSを終端して高速配信。
- 例2(オリジン終端):機密性が高いサービスでオリジンに証明書を置き、CDNはTLSパススルーで中継。
推奨
公開サイトはCDN終端+CDN→オリジンもTLSで再暗号化する構成が運用しやすく推奨されます。機密性の高いサービスはオリジン終端も検討してください。
CDNバインドドメインの設定手順(一般例)
ステップ1: CDN管理画面でカスタムドメインを登録
CDNの管理画面にログインし、「カスタムドメイン」や「バインドドメイン」の登録を選びます。登録時にドメイン名と用途(静的配信、アプリ配信など)を入力します。所有権確認が求められることがあるので、メールやDNSでの検証方法が表示されたら指示に従ってください。
ステップ2: 証明書を用意する
HTTPSで使う場合、証明書が必要です。多くのCDNは自動発行(Let’s Encrypt等)に対応します。自動発行を使えない場合は、自分で証明書を発行してアップロードします。期限切れを防ぐために自動更新設定を確認してください。
ステップ3: DNS設定でCNAMEを向ける
ドメインのDNS管理画面で、CDNが指定するホスト名にCNAMEを設定します。ルートドメイン(example.com)を使う場合は、ALIAS/ANAMEやCDNのルート対応機能を利用します。DNSの反映には数分〜最大72時間かかることがあります。
ステップ4: HTTPSと証明書の適用を確認
CDN側で証明書が有効になるとHTTPSが利用可能になります。ブラウザやcurlで証明書情報を確認し、チェーンや有効期限に問題がないか確かめます。
ステップ5: キャッシュとセキュリティ設定を最適化
TTLやキャッシュキー、圧縮、ヘッダー転送などを設定します。WAF、IP制限、オリジン認証(ヘッダーやトークン)を有効にして、オリジンを直接叩かれないようにします。設定変更後はキャッシュのパージや動作確認を行ってください。
SEOやドメイン設計上の注意
ドメイン設計の基本
バインドするドメインは一貫性を重視してください。ブランド用のメインドメインを中心にし、関連サービスは論理的に分けます。例えば、shop.example.com と blog.example.com のように用途ごとに分けると管理が楽になります。
サブドメインとサブディレクトリの違い
検索エンジンはサブドメインを別サイトとみなすことがあります。SEOの観点では、コンテンツを同一サイトとして評価してほしい場合は example.com/blog のようなサブディレクトリが有利です。トラフィック分散や運用上の理由でサブドメインを選ぶ際は評価の分散を意識してください。
CDNバインド時の注意点
CDNにカスタムドメインをバインドしたら、オリジンのURLと整合性を保ってください。canonical タグやリンク先をCDN経由の正しいドメインに揃えると重複コンテンツ扱いを避けやすくなります。
HTTPSと証明書
検索エンジンはHTTPSを優先します。CDN側で適切なSSL/TLS証明書を設定し、サイト全体でHTTPSに統一してください。自動リダイレクト設定をしておくと安全です。
クロールとキャッシュ制御
検索エンジンのクロールに対して不要なキャッシュ応答を返すと新しいコンテンツが反映されにくくなります。キャッシュヘッダを用途別に設定し、重要なページは短めにします。
実務チェックリスト
- トップドメインとサブドメインの役割を明確化
- canonical と 301 リダイレクトを整備
- CDN証明書とHTTPSの確認
- キャッシュヘッダの運用ルールを策定
これらを押さえれば、CDNバインドによる不意のSEO低下を防ぎやすくなります。
まとめ
-
CDNにバインディングドメイン(カスタムドメイン)を設定すると、配信速度の向上、負荷分散、信頼性向上、見た目のブランド統一といったメリットが得られます。具体例として、www.example.comをCDNのホスト名(cdn.example.net)にCNAMEで紐付ける構成が一般的です。
-
設定ではDNS、SSL/TLS、オリジン設定、キャッシュ挙動などを正しく行う必要があります。証明書が無いとブラウザ警告が出るため、自動更新やプロバイダの証明書機能を活用してください。
-
リスクも存在します。設定ミスでコンテンツが配信されない、意図しない公開、ドメインフロンティングなどの悪用があり得ます。したがって、権限管理とログ監視、定期的な設定確認を行ってください。
-
運用上のポイント:設定手順をドキュメント化し、テスト環境で検証する。DNS変更や証明書更新はスケジュール化する。SEO影響を防ぐために正しいリダイレクトとcanonicalを維持する。
-
総括:CDNのバインディングドメインは有用ですが、正しい設計と継続的な運用が大切です。小さな確認を習慣にして、安全かつ高速な配信を目指してください。
