メニュー

委員会資料

第29回JPドメイン名諮問委員会議事録


株式会社日本レジストリサービス 第29回JPドメイン名諮問委員会 議事録


1. 日 時: 2009年9月7日(月) 15:30 ~ 16:50


2. 場 所: 株式会社日本レジストリサービス内 会議室
東京都千代田区西神田3-8-1 千代田ファーストビル東館13F


3. 出 席 者: 後藤滋樹 委員長
松本恒雄 副委員長
遠藤紘一 委員
林一司 委員
原隆一 委員
唯根妙子 委員


4. 同 席 者: 堀田博文 (JPRS 取締役)
濱川渡 (JPRS 取締役)
松丸真紀子(JPRS 事務局)
米谷嘉朗 (JPRS 事務局)
江原誠 (JPRS 事務局)


5. 次 第:

1. 開会
2. 議題
(1) 第5期JPドメイン名諮問委員会委員の交代に関するご報告
(2) 2009年度諮問事項についてのご報告、ご審議
(3) その他
3. 閉会


6. 資 料:

資料1 JPドメイン名諮問委員会 委員一覧
資料2 JPドメイン名諮問委員会委員 推薦書
資料3 諮問書 DNSセキュリティ拡張方式(DNSSEC)の導入に関して
(JPRS-ADV-2009001)
資料4 DNSSECの基本的仕組み
資料5 DNSSECを利用するには
資料6 DNSSECの導入における課題
資料7 JPドメイン名サービスへのDNSSECの導入予定について


7.議 事:(◎は委員長、○は委員、●はJPRS取締役および事務局の発言)
------------------------------------------------------------------------
<開 会>

《開会の挨拶》

《出席状況の報告》

●第5期JPドメイン名諮問委員会委員として就任いただいていた高瀬哲哉委員よ
り、前回28回の委員会後に、期中における辞任の申し出があった。その後、後任
の方について、本年6月18日に委員会より、資料2のとおり、原隆一様を推薦いた
だいた。

これを受け、JPRSにおいては、8月7日に取締役会を開催し、推薦書に基づき、後
任として原隆一様を諮問委員に任命させていただくことを決議した。その後、原
隆一様からも、就任へのご承諾をいただいたので、本日、「第29回JPドメイン
名諮問委員会」に委員として参加いただいている次第である。以上、委員の交代
につき、その手続きと経過についてご報告した。

続いて本日の出席状況を報告する。本日の委員会には、後藤滋樹委員長、遠藤紘
一委員、林一司委員、原隆一委員、唯根妙子委員、以上5名の出席をいただいて
いる。従って、JPドメイン名諮問委員会規則第13条に規定されている、開催に必
要な定足数の「全委員の過半数」を満たしていることを報告する。なお、松本恒
雄副委員長は、若干遅れるが出席いただく。

本日、JPRSからは堀田博文、濱川渡、松丸真紀子、米谷嘉朗、江原誠が同席する。


<議題(1) 第5期JPドメイン名諮問委員会委員の交代に関するご報告>

◎「第5期委員の交代」については、先ほどJPRSより報告いただいたので、ここ
では割愛する。


<議題(2) 2009年度諮問事項についてのご報告、ご審議>

◎本年5月28日に開催された第28回委員会の中で、「JPドメイン名の概況とドメ
イン名を取り巻く状況に関するご説明」として、JPドメイン名も含めたレジスト
リの状況やドメイン名に関連する新しい市場などについてJPRSより紹介いただい
た。今回は、紹介いただいたトピックの中から、DNSセキュリティ拡張方式
(DNSSEC)の導入について、諮問書として提出いただいいる。諮問書の内容につい
て、JPRSより説明いただきたい。

[取締役堀田博文より諮問書について説明]
- 資料3 諮問書 DNSセキュリティ拡張方式(DNSSEC)の導入に関して
(JPRS-ADV-2009001)

●詳細については事務局より説明する。

[事務局より資料について説明]
- 資料4 DNSSECの基本的仕組み
- 資料5 DNSSECを利用するには
- 資料6 DNSSECの導入における課題
- 資料7 JPドメイン名サービスへのDNSSECの導入予定について

○DNSSECでは、電子署名の技術を使うということか。

●そうである。

○DNSSECに対応するためには、ユーザーは何をする必要があるのか。OS、ブラウ
ザ、メーラーなどでの対応が求められるのか。もしくは専用のソフトウェアをイ
ンストールする必要があるのか。

●資料5の11スライド目を使って説明するが、通常、問合わせ側のDNSサーバが署
名を検証し、DNSの応答の正しさを確かめることになる。従って、問合わせ側の
DNSサーバが対応していれば、ユーザーにおいては特に何もする必要はない。

◎ユーザーへの影響としては、DNSSECは各DNSの応答に対して署名するので、情
報量が増えることから、負荷が若干上がり、通信が遅くなる可能性がある。

●応答のサイズが署名によって変化することにより、処理の負荷が上がり、応答
が遅くなる可能性がある。どの程度遅くなるかについては、現時点では正確にわ
かっていない。

◎ドメイン名数が少ないTLDでは、かなり以前からDNSSECへの対応をしていたと
ころもあるようだ。しかし、ドメイン名の数が多いTLDの場合、規模に比例して
負荷が大きくなるため、それほど対応が進んでいない。最近では、マシンの性能
が向上し、ネットワークの帯域も拡大してきたので、ドメイン名の運用において
国際的に先頭集団を牽引してきたJPにおいても、今後検討が進むと思っている。

○問合わせを受けるDNSに対して集中的に問合わせが来た場合、応答が中断する
ことはあるか。

●そのような場合はある。一般にDoS攻撃と呼ばれている。DoS攻撃は、DNSSECへ
の対応の有無にかかわらず生じうる問題である。

◎例えば韓国では、2003年頃にDNSへのDoS攻撃が行われたことがあった。土曜日
の午後2時頃にアタックが始まり、復旧は翌週の月曜日になった。その間、ISPは
麻痺状態となった。なお、同時期に日本に対しても同様の攻撃があったが、JPで
は頑健な仕組みなどにより、大きな影響は受けなかった。このように、DNSに集
中的に負荷をかけることにより、その機能を麻痺させた事例は存在する。そのた
め、DNSの運用者は常に警戒している。

○ISPおよびその上流でDNSSECに対応するために設備を更改する費用負担をどう
考えるか。小規模なISPにとっては重い負担である。小規模でないISPにとっても、
自らの直接的な利益にならないような、他社管理下のドメイン名の正しさのため
に設備投資をするインセンティブは持ちにくい。こうした費用をどのように負担
すべきか考慮しないと、関係するプレイヤーに対応の動機付けを示せなくなり、
DNSSECの普及が進まなくなる恐れがある。

●コストの回収については、2つの観点が必要である。第一に、サーバの能力向
上、ソフトウェアの切り替えといった運用の観点である。単にドメイン名の正し
さや利用者の安全を保証するのみならず、お客様の安全を守るために対応するの
だということを、運用者にご理解いただかなければならない。

第二に、ビジネスの観点である。セキュリティを高めるために生じたコストを誰
から回収するかという課題である。また、ある事業者が手数料をゼロにすると、
他の事業者は手数料を上乗せしにくくなるといったことなども考えられるので、
今後検討する必要があると認識している。

○それぞれのISPが個別に対応しても、お客様にご理解いただくことは難しい。
日本全体として一貫した広報を行い、日本のコミュニティ全体で足並みを揃える
必要があると思う。

○資料6の10スライド目についてだが、「それぞれのプレイヤー向けの適切なツー
ル」とは、具体的にどのようなものか。

●資料6の9スライド目にあるように、署名鍵はその運用者が定期的に交換しなけ
ればならないが、その交換を簡便化するツールなどを指している。また、署名の
有効期限が切れると名前解決ができなくなるが、その署名を適切な間隔で再署名
できるようなツールなど、運用の労力を下げるためのツールを提供していく必要
があると考えている。

○そのようなツールを開発し、提供するためにかかる費用を誰が負担するかとい
う議論が必要なのだと理解した。

●日本にISPは2,000社程度あると言われるが、独力のみで対応できるISPはその
うち100社に満たないかもしれない。独力のみでの対応が難しいISP向けに、検証
用ツールキットのようなものを提供することなどが考えられる。そこまで考えな
ければ、日本全体にわたって安全にすることはできない。

◎DNSの管理自体が容易ではない。慣れていない人が携わると危険である。たと
えば、DNSに登録された情報の中にLame delegationが占める割合は無視できない。
Lame delegationを防止するため、JPNICとJPRSが管理者への注意喚起など行って
きたが前述の状況にある。DNSSECを浸透させるためには、広範囲の関係者を巻き
込んだ大きな努力が必要であろう。

○JPRSでは2010年中にDNSSECを導入予定とのことだが、IPv6の実装が本格化する
時期と重なる可能性がある。そうすると、IPv6に対応している/していないDNS、
DNSSECに対応している/していないDNSが混在し、非常に複雑な環境になるので、
整理しなければならない。ステップを設けて進めていくべきである。

◎中長期的なステップを示し、日本のコミュニティ全体で将来のイメージを共有
する必要がある。

○DNSSECに関して、JPRSは、世界のコミュニティとはどのような形で連携してい
るのか。

●技術に関しては、運用の状況やノウハウの共有をしている。ビジネスに関して
は、署名鍵の登録方法などについて、世界共通的なサービスとなるよう、情報交
換などを行っている。

○問い合わせ側のDNSは問い合わせ先のDNSを認識するわけだが、その方法が相手
によってまちまちになると、問い合わせ側の負担が大きくなる。

◎DNSSECにおける認証方法は共通である。しかし、運用やツールが地域ごとに異
なってくることは考えられ、そうなると、問い合わせ側は困ると思われる。

○署名の有効期限などもTLDごとに異なると困る。

●署名の有効期間や鍵長などについて、Best Current Practiceの共有およびノ
ウハウの蓄積を国際的に協力して行う必要がある。

◎DNSSECという技術自体は、以前から提案されていたが、実際に導入して運用す
るとなると、全体的な促進をどうするかなど、さまざまな課題を解決しなければ
ならない。事務局には、国内外の動向など、引き続き情報提供をお願いしたい。
本日いただいたご意見を踏まえて11月の次回委員会でさらに議論を進め、来年2
月には答申をまとめたい。

○一般的に、企業では2009年中から2010年度の予算を立てると思われる。JPRSは
2010年中のDNSSEC導入を検討しているとのことだが、答申を出すのが2月では、
各企業の予算配分がままならならず、対応しきれない部分がでてくると思う。

●諮問委員会の動きと並行し、実務レベルでは、2月に答申をいただく前の段階
でJPRSとISPの連動試験などを行っていきたい。そうした活動の中で、サーバの
増強がどの程度必要になるかなどが見えてくると思われる。そうした状況を踏ま
え、実務側のスケジュールや役割分担などの方向性がある程度見えると思うので、
11月の諮問委員会で共有する。

◎11月の諮問委員会では、大きな方向性を示し、2010年2月の諮問委員会におい
ては、具体的な注意点を提示できると良いであろう。

《今後の予定について》

◎次回の諮問委員会の開催については、第30回を2009年11月に、第31回を2010年
2月に予定している。具体的な日程については、事務局からご相談させていただ
きたい。

《閉会》

◎以上をもって、第29回諮問委員会を閉会とする。

<閉会>

以上

PAGE TOP