委員会資料
第56回JPドメイン名諮問委員会議事録
株式会社日本レジストリサービス 第56回JPドメイン名諮問委員会 議事録
1. 日 時: 2016年6月20日(月) 13:30 ~ 15:23
2. 場 所: 株式会社日本レジストリサービス 東京本社 大会議室 東京都千代田区西神田3-8-1 千代田ファーストビル東館13F
3. 出 席 者: 後藤滋樹 委員長 大井貴 副委員長 金子宏直 委員 武山芳夫 委員 丸橋透 委員 唯根妙子 委員 総務省 総合通信基盤局 電気通信事業部 データ通信課 三田一博 課長
4. 同 席 者: 堀田博文 (JPRS 取締役) 常山敬秀 (JPRS 事務局) 宇井隆晴 (JPRS 事務局) 江原誠 (JPRS 事務局)
5. 次 第:
1. 開会 2. 議題 (1) 諮問「不正行為に使われているJPドメイン名へのレジストリとして の対応について」への答申書(案)について (2) JPドメイン名の概況とドメイン名を取り巻く状況について (3) その他 3. 閉会
6. 資 料:
資料1 第8期JPドメイン名諮問委員会委員一覧 資料2-1 答申書(案) 資料2-2 不正行為に使われているJPドメイン名へのJPRSにおけるレジ ストリとしての対応の実装検討における留意点 資料3 JPドメイン名の概況とドメイン名を取り巻く状況について
参考資料1 JPドメイン名諮問委員会規則 参考資料2 諮問書「不正行為に使われているJPドメイン名へのレジスト リとしての対応について」(JPRS-ADV-2015001) 参考資料3 答申骨子
補助資料1 ブランドTLDの活用事例【委員限り】
7.議 事:(◎は委員長、○は委員、●はJPRS取締役及び事務局の発言) ------------------------------------------------------------------------ <開 会>
《出席状況の報告》
●出席状況の報告の前に、第8期JPドメイン名諮問委員会における日本国政府の 委員の交代について事務局から報告する。
●2016年6月17日付の総務省人事異動にて、吉田正彦委員が総務省 総合通信基 盤局 電気通信事業部 データ通信課長を退任され、それに伴い、JPドメイン名 諮問委員会委員を離任された。 第8期JPドメイン名諮問委員会委員のうち、日本国政府の分野については、定期 的な人事異動を考慮し、個人名でなく、データ通信課長という所属/役職で推 薦いただいているため、異動の際には、後任の方をJPRS取締役会にて任命する こととなる。 本日時点では、新しくデータ通信課長に就かれた三田一博様の任命決議がJPRS 取締役会にてなされていないため、日本国政府の委員は空席となる。 委員としての参加ではないが、今後の議論の参考としていただくため、後藤委 員長の指示により、JPドメイン名諮問委員会規則第12条1項に基づき、委員以外 の方として総務省 総合通信基盤局 電気通信事業部 データ通信課長 三田一博 様に諮問委員会への出席をお願いしている。
●本日の委員会には、後藤滋樹委員長、大井貴副委員長、金子宏直委員、 武山芳夫委員、丸橋透委員、唯根妙子委員、以上6名の出席をいただいている。 従って、JPドメイン名諮問委員会規則第13条に規定されている、開催に必要な 定足数の「全委員の過半数」を満たしていることを報告する。 また、事務局からの説明のとおり、本日は委員以外の方として総務省 総合通信 基盤局 電気通信事業部 データ通信課長 三田一博様に出席いただいている。 本日、JPRSからは、堀田博文、常山敬秀、宇井隆晴、江原誠が同席する。
<議題(1) 諮問「不正行為に使われているJPドメイン名へのレジストリとして の対応について」への答申書(案)について>
◎第55回委員会の議論にて委員より出された意見・方向性に基づき、私と事務 局にて答申骨子(案)を修正し、各委員へのメールでの確認を経て、答申骨子 が確定した。この答申骨子に基づき、答申書(案)を私と事務局にて作成した。 本日は、答申書(案)について議論し、答申書の内容を固めていきたい。 また、第55回委員会では、実装に関する意見もいただいた。実装の話は答申書 に入るものではないが、JPRSにて実装の検討をする際、参考にしてもらうため、 事務局にて実装時に留意する点として資料2-2にまとめてもらった。 本資料について、事務局より説明いただきたい。
[事務局より資料について説明] - 資料2-1 答申書(案) - 資料2-2 不正行為に使われているJPドメイン名へのJPRSにおけるレジスト リとしての対応の実装検討における留意点
◎不正行為を行う者とJPRSが直接対峙している構図であれば、自ら対抗手段を 判断することもあるかもしれないが、今回の場合は、間に指定事業者が入って おり、それぞれの約款に基づいて対応が行われている。一方、DNSに関しては、 ccTLDのレジストリの立場として運用の責務があるが、その部分で不正行為への 対応を行ってしまうと影響が大きいのではないかといったような意見がこれま での議論であった。また、関係団体も多く、ある時点で妥当な判断であっても、 様々な状況の変化もあるため、複雑な記載になっている。社会の変化に合わせ 都度見直すべきものではあると思うが、現時点の答申としては今回の答申書 (案)の内容で出せればと思う。今回の方針を基にJPRSが世の中の不正行為な どに対して対応できることがあるだろうが、影響が大きいのでその点は注意し て欲しいという点もまとめている。
○主文の最後の文章は、もう少し簡潔に書けると思う。「これについては、今 後の法律の施行・運用の中で総務省との間で確認・調整を必要とするところも あるため、総務省と必要な調整を行った上で進めることが必要である。」の文 章の部分について、「ところもある」で文章を切ってしまえばよいのではない か。文意に変更は生じないと思う。
●ご指摘のとおり、同じ文章が2回連続で続くような表現になっている。主文は 各論点の結論をそのまま記載する形になっているため、ご指摘の部分と併せて 5ページの最後の記載も同様に修正する形でよいか。
◎そのように修正してほしい。
○「不正行為」という表現は刑事上の行為だけでなく、民事上の不法行為の側 面も含めたものである。3ページの記載で「警察、裁判所だけでなく」と警察と 裁判所を並べて記載すると刑事的なものだけに限定されているかのようなイメー ジがついてしまい、刑事的なものだけを対象に対応するように誤認されるかと 思う。誤認を避けるため、文章表現を修正できないだろうか。
○「刑事及び民事にまたがる広い意味での不正行為」であることを表現したい ため、「民事ないし刑事を含む」程度で書けるとよい。
○「日本においては、警察、裁判所だけでなく、」を「日本においては、裁判 所の民事及び刑事の手続き、警察だけでなく、」などの表現をしてはどうか。
○簡素に「裁判所(民事及び刑事)」と書いてはどうか。
◎答申書の文章表現で括弧括りはあまり使われないかと思う。
●「日本においては、警察、裁判所だけでなく」の部分を「日本においては、 警察、裁判所における民事・刑事の手続きだけでなく」に修正する形でどうか。
◎問題ない。最終的にどの部分が変更となるのか最終確認したい。
[資料2-1の以下の点を修正することを全委員で確認・異議なし] + 2ページ:以下の文章修正 [旧] 今後の法律の施行・運用の中で総務省との間で確認・調整 を必要とするところもあるため、総務省と必要な調整を行っ た上で進めることが必要である。 [新] 今後の法律の施行・運用の中で総務省との間で確認・調整 を必要とするところもある。 + 5ページ:一番最後の文章について、上記と同様の修正 + 3ページ:以下の文章修正 [旧] 日本においては、警察、裁判所だけでなく [新] 日本においては、警察、裁判所における民事・刑事の手続 きだけでなく
◎それでは、修正版の答申書をJPRSに示すこととする。現状では修正版の答申 で固めることとなるが、今後、関連団体の変更や法規制の変更などの様々な状 況変化が起きるかと思う。そのような場合は、また見直しなどが必要だと思わ れるので、適宜、状況の共有をお願いしたい。
◎資料2-2については答申書には入らないが、本日の諮問委員会資料とすること により、委員会の意見として残す形とする。実装する際の参考としてほしい。
●承知した。実装検討の際の参考とさせていただく。
<議題(2) JPドメイン名の概況とドメイン名を取り巻く状況について>
◎「JPドメイン名の概況とドメイン名を取り巻く状況」について、JPRSより説明 いただきたい。
●各委員への情報共有として、JPドメイン名も含めたレジストリの状況やドメ イン名に関連する最新の動向などについて紹介する。内容に対して忌憚のない 意見をお聞かせいただければと考える。また、各委員より追加の検討課題など あれば提起いただきたい。
[事務局より資料について説明] - 資料3 JPドメイン名の概況とドメイン名を取り巻く状況について
○インターネットが世の中の基盤となり、ドメイン名が拡張していく動きがあ るが、それに伴いドメイン名に関する良い面、悪い面も大きくなると思う。特 に悪い面に対してはどう規制をしていくか、改善していくかというインターネッ トガバナンスの話にもなる。日本国内では法律での規制などもできて良い方向 になってきたかと思うが、世界的にはまだそういった部分も整っていない。そ の点の議論はされているだろうが、世界的な対応としての方向感のようなもの は具体的に見えてきているのだろうか。もしくはまだ未整備の状況なのだろう か。
●ご指摘のとおり、悪い面が目立つようにもなってきている。新gTLDに関して 言えば、.xyzのような例もあるが、良くない登録が増えるのには二つの動きが ある。一つはTLDレジストリが、質が悪くても、安く、誰にでも、簡単に売るこ とによって数を増やすというような方向性で売り出してしまうこと。もう一つ は、投機的、犯罪的な目的で大量のドメイン名を登録する行為が行われてしま うこと。この2点が組み合わさると、.xyzのような大きな事例に発展してしまう。 不正利用に関してはICANNでも議論がなされており、たとえば、レジストラはこ のような対応をしなければならないという方針があるが、処罰的なものではな く、ポリシーとしての方針であるため、明確な悪意のある行為に対して効果的 なのかというとそうではないところがあると思う。これは各国の法律の話では なく、ドメイン名全体の管理のポリシーの話なので、各国それぞれ法規制があ る国もあるかもしれないが、gTLDのように国内に閉じないグローバルな話につ いては色々と問題が起きてしまっているのが現状ではないかと思う。
◎新gTLDの部分が野放し状態、かつ既存のドメイン名に関しては過去の様々な ルールで工夫して整えられることにより、より濃縮されて不正行為者が新gTLD に集まるのかもしれない。.xyzをまともに利用している人もいるかもしれない が、URLで.xyzが出れば怪しいというのが現状である。新gTLDの登録数がいきな り増えるものなのかと疑問視していたが、JPRSからの報告によれば非常に数が 増えているとのことであった。不正行為者は無料で機械的に大量に登録できる ドメイン名に流れることになる。怪しいドメイン名をどうやって見抜くかを大 学の学生とも議論するが、登録されて日が浅い、ドメイン名の文字数が長い、 不自然な文字列がある等が挙げられる。悪用者は追いかければ逃げるので、な かなか捕まえるのは難しい。今回JPRSでサービスを開始しているが、サーバー 証明書があれば、利用者からするとある程度安心だと思う。1年半程度前、国立 情報学研究所が大学等の学術機関に無料でサーバー証明書を発行する作業をテ スト的に行っていたが、希望が非常に多いために、現在は正式業務として切り 替わった。JPRSのように大本がしっかりしている組織が出すサーバー証明書な ら問題ないが、信用のない組織が発行するサーバー証明書では意味がない。
◎JPRSのサーバー証明書は、JPドメイン名を利用していることが確認できる登 録者にのみ発行しているのか。もしくは実態が確認できればJPドメイン名に限 らず発行しているのか。
●JPドメイン名に限らずサーバー証明書は発行する。JPドメイン名の場合は登 録情報をJPRSが保持しているため、それらの情報により審査ができるといった メリットはある。
◎インターネットに限らず、世の中には信用情報の確認等の仕組みがある。そ ういった今までの知恵・仕組みをサーバー証明書という形でインターネットで も利用できるのは意味があることかと思う。
●安全なTLD空間と危険なTLD空間の話に戻るが、一般に危ないと言われるのは、 安いドメイン名という認識が強いと思うが、それだけではなく、資格審査等が しっかり行われ、料金が高く安全と言われるドメイン名を利用して悪事を行う 者もいる。安全と言われるドメイン名で悪事を行えば、一つの悪事で得られる 金額が高くなる、という発想である。それゆえに、どんなに安全性を高めても、 ドメイン名の危険度は0%にはならない。例えば、ロシアではJPドメイン名の人 気が高いらしい。何故なら、JPドメイン名は安全だと思われているがゆえに逆 に騙しやすい、といった理由である。諮問委員会での議論でも出てきた第三者 機関にも、こういった状況を共有して、基準等を皆で作り上げていかなければ ならないと思う。
◎悪事を行おうとする者はどのような仕組みであっても何かしらの手段を使っ て必ず悪事を行おうとする。システムをインターネットと繋ぐと危ないので切 り離す、という対応をとったとしても、内部犯行がゼロではないので、あらゆ るところで意識を高め、かつ、技術的な対応も必要かと思う。JPドメイン名が 100%安全と言い切れない状況は残念ではあるが、グローバルな世界の中で率先 してこのような課題対応に努めなければならない。
◎サーバー証明書がついているかどうかブラウザで見ることができるが、全体 的にはまだ浸透できていない印象か。
●Webページのサーバー証明書について、一般人の観点から見れば個人情報やク レジットカード情報の入力時に「このwebページは暗号化されているので安全で す」というwebページ上の表記で認識しているだろうが、実際は表記だけで信用 してはならず、本当に信頼できるか否かはURL隣の鍵マークをクリックすること で出る証明書ページでどの組織がどの組織のために出したサーバー証明書かを 見るべきであるが、そこまで確認する人はほぼいないだろう。webブラウザとし てのインターフェースをもっと積極的に見せるべきだという意見も出ているが、 まずはサーバー証明書が何なのか、何故必要なのか、何をしてくれるのかをき ちんと理解してもらえるようにするための活動も必要ではないかと思う。JPRS も今回サーバー証明書のサービスを開始したが、それと同時にその理解を世の 中に広めていくことも必要かと考えている。
◎サーバー証明書の説明について、一般の方がどの程度分かっているのか認識 を確認して、どういう部分がボトルネックになるか等も考えないといけない。 セキュリティ関連はどうしても不便な方向になってしまうので、面倒だと思わ れてしまうこともある。そういったことにどう対応するのかも考えないといけ ないだろう。
◎最近はAI(人工知能)のディープラーニング等も話題になっているが、正し いものと間違ったものの両方で学習するという形になるが、正しいものだけか ら学べることは実はあまり無い。このように、情報は間違ったものや駄目なも のを皆で共有する姿勢がないといけないのだろう。「やってみて上手くいかな い」ということに情報価値があり、それを今後どうすべきかを考えることが重 要である。世の中全般に問題を共有すると悪事を行う人にまで情報が渡ってし まうので、信用できる組織の間で誤りなどの情報を共有するとよい。一つの組 織でできることは限られているので、連携が必要となる。
◎これまでの世の中でも悪事はたくさん溢れていたが、サイバー空間が広がる ことによって、当然その悪事の空間も広がった。防ぐ側も技術を高めていかな いといけないが、そのためにはきちんと課題を認識するということが必要であ る。
○怪しいサイトがあるTLDの評価について資料で説明があったが、新gTLDのレジ ストリが何か問題を起こしているなど、インターネットやDNSなどのインフラへ の影響が目に見える形で出ているのか。もしくはスパムなどTLD以外の部分で間 接的に悪影響が見えている状況なのか。
●新gTLDが1,000件を突破したところだが、ルートゾーンの部分を見ると、実際 のDNS問い合わせ数は何割かしか増えていない。現時点ではまだあまり使われて いないからだと思われる。まだ人間がWebブラウザを利用している現状では大き な数字の変動はないだろうが、これからIoTの時代になると、どの程度増えるか は分からない。机上で計算できるのかというところも読めない。その時代とい うよりは、どう使うのかについて色々な方が発明できるのがインターネットの 良いところであり、その発明された使い方でどれぐらいトラフィックが増える のかについては毎日見ていかないとわからないと思う。
○ネットバンキング不正の際に.ruが大量に発行されたときなどは、多少目に見 える影響があったのだろうか。
●その点についてはおさえていないので、わからない。
○ご説明のあったとおり、IoTの時代でドメイン名が使われるようになると、予 想もつかないような世界になるかもしれない。
◎ルートゾーンのトラフィックはあまり増えていないのか。
●この2年で大体2~3割程度しか増えていない。
◎スマートフォンのアプリは見かけ上はわからないがhttpが多く、人間がブラ ウザを使う以外にも増えている。DNSの部分が満杯になってしまうと影響が大き いため、引き続き観測する必要があると思う。IoTの時代になっても名前を付け たいということになるのではないだろうか。DNSが今のインターネットを支えて いるのは間違いないが、逆に言うと頼りにされすぎているのかもしれない。DNS が動かなくなると普通の使い方ではインターネットが死んでしまうという事態 になるので、理解を深めるというところはJPRSだけでなく、様々な機関でやら なければならないかと思う。
○サイバー攻撃も段々と国際的になってきている。今後、日本でもオリンピッ クが開催されるという中で、ICANN等の国際的諸団体との横の連携や取り組みが 現在できているのか。
●DNS運用に関しては、ルートDNSを運用している組織間の情報共有・連携や、 ccTLDレジストリ間の情報共有・連携として、緊急連絡網ではないが「こういう 時にはこういう情報をとりあおう」といった話が行われている。様々な攻撃に 対してDNSだけ見ていてもわからない部分があり、ドメイン名やDNSの業界に留 まらない課題として取り組みがされている。オリンピックに向けて官民の連携 を強めていかなければならないとここ何年か言われてきているが、具体的な動 きとしては見えていないのが現状であると思う。方針的な部分ではなく、具体 的に何ができるのかという議論にも積極的に入らなければならないかと思う。 今回の電気通信事業法改正によりDNSが法律の枠組みに入ったことを一つのきっ かけとして、既存の電気通信事業をとりまく業界とも色々と情報交換・連携を 始めるタイミングを迎えたのかもしれない。
◎IETF等でも、通信の秘密やヨーロッパでの個人情報の持ち出し禁止等の制約 の中で、どの情報をどこまで匿名化すれば情報共有できるかといった話が出て いる。皮肉にも、グローバルな繋がりについては悪事を働く者のほうが連携が 取れている。また、インターネットセキュリティは各国の責任だと主張する国 ほど、他の国から見ると、その主張する国から攻撃が行われており、このよう な国がきちんと取り締まればよいのだが、残念ながら逆の方向に進んでいる。 こういった中で、JPRSや日本国政府にどのような役割・対応を依頼するのか決 めるのは難しい話ではあると思う。
◎本日、色々ご意見をいただいたが、問題点に対する技術的な解決策だけでな く、組織間の連携等も次回の委員会で紹介してもらうと良いのではないか。今 回説明があったサーバー証明書については、それを使うという意思がないと難 しいが、広がっていく方向にあると思う。また、DNS自体の信頼性を高めるなど の啓発もJPRSでは行われているが、まだまだ広がりとしては難しいところかと 思う。
◎本日、委員から質問があった事項については次回委員会にてさらに情報共有 いただけることあれば、出してもらうとよいだろう。
○DNSのトラフィックがそこまで増えていない、AIではなく人間が扱っているの で爆発的には増えないという話に戻るが、AI自体がドメイン名の主体であると いうようなものを検出することはできるのか。会社の活動として人間が使って いるのではなく、AIがインターネットにアクセスするためのドメイン名登録が どんどん増えたりするのだろうか。
◎現状としては、ドメイン名の使い道を規定していないが、推測はできるかも しれない。研究としては人間が使っているかどうかについては、トラフィック のパターンや時間間隔などの間接的なデータから判別するといったものがある。 もしかすると、ドメイン名によって判別できるようにするということはあるか もしれない。
○不正アクセスを行う、温度センサーで管理する、といったことなど結局すべ てAIで行うのであれば、AIのシステムのなかでドメイン名を使うということを 申請してもらうようにすると、申請のあるAIのシステムからのアクセスと申請 のない、適切な利用ではないAIのシステムからのアクセスに分けられ、後者を 集中的にDNS側で監視することができるのではないだろうか。
◎DNSの問い合わせにおいて、見分けがつくようにドメイン名を利用するのはあ り得るのかもしれない。
◎先ほどもお伝えしたが、今回出た話題であるサーバー証明書やDNSなどの話が 出たが、問題に対してどう連携をとっているのかなど次回の委員会で紹介いた だきたい。
●承知した。特に、紹介した中でもサーバー証明書についてはドメイン名と登 録者に直結して見える部分でもあるため、このあたりを次回もう少し具体的に 紹介できればと思う。それ以外についても、紹介できるものがあれば情報共有 したい。
《今後の予定について》
◎第56回JPドメイン名諮問委員会の議事は終了とする。次回の委員会について は、9月頃を目処に開催することになるかと思う。委員会の具体的な日程につい ては、また後日、事務局より調整させていただく。
<閉会>
