※この文書は有効期限を過ぎているため無効です
最新版:https://jprs.jp/doc/dnssec/jp-dps-jpn.html
最新版:https://jprs.jp/doc/dnssec/jp-dps-jpn.html
| JPドメイン名におけるDNSSEC運用ステートメント(JP DPS) |
1. はじめに
本文書、すなわち「JPドメイン名におけるDNSSEC運用ステートメント
(JP DPS)」(以下、「JP DPS」という)は、株式会社日本レジスト
リサービス(以下、「JPRS」という)が、JPドメイン名における
DNSSEC運用の考え方などについて記述したものである。
1.1. 概要
JPRSは、JPドメイン名におけるDNSSEC(*1)運用についての情報を提
供するため、JP DPSを公開する。
JP DPSは、JPドメイン名におけるDNSSECサービス(以下、「JP
DNSSECサービス」という)の安全性や運用の考え方、方式、手順など
を網羅的に検討する目的から、IETF Domain Name System Operations
Working Groupで検討中のDPSフレームワーク(*2)を用いて記述され
ている。JP DPSの章立ては以下の通りである。
1. はじめに
2. 情報公開
3. DNSSEC運用における要件
4. 施設、管理及び運用コントロール
5. 技術的なセキュリティコントロール
6. ゾーン署名
7. 準拠性監査
8. 法的事項
---------------------------------------------------------------
*1: DNSSEC(DNS Security Extensions)は、DNS問合わせへの応答に
公開鍵暗号方式による署名を付加することで、応答の出自(正当
な発信元であること)・完全性(改ざんのないこと)を問合わせ
側で検証可能にする仕組みである。DNSSECの基本仕様は以下の標
準プロトコル(RFC: Request for Comments)により規定されてお
り、DNSプロトコルに対してDS、DNSKEY、RRSIG、NSECなどの追加
レコードを定義している。
・RFC 4033
DNS Security Introduction and Requirements
http://www.ietf.org/rfc/rfc4033.txt
・RFC 4034
Resource Records for the DNS Security Extensions
http://www.ietf.org/rfc/rfc4034.txt
・RFC 4035
Protocol Modifications for the DNS Security Extensions
http://www.ietf.org/rfc/rfc4035.txt
*2: DPS(DNSSEC Practice Statement)は、DNSSEC運用者が、その運
用の考え方、方式、手順などを記述する文書である。DPSのフレー
ムワークについては、本文書記載時点で以下のInternet-Draftを
用いて議論されている。
・DNSSEC Policy & Practice Statement Framework
(draft-ietf-dnsop-dnssec-dps-framework-03)
---------------------------------------------------------------
1.2. 文書名とバージョン
文書名 :JPドメイン名におけるDNSSEC運用ステートメント(JP DPS)
バージョン:1.0
公開日 :2011/01/14
実施日 :2011/01/16
1.3. コミュニティと適用性
JP DNSSECサービスにおける関係者とその役割を説明する。
1.3.1. レジストリ
JPドメイン名のレジストリはJPRSである。レジストリは、JPドメイン
名の登録管理とJPゾーンのDNS運用を行う。JP DNSSECサービスにおい
て、レジストリは、JPゾーンの署名鍵(KSK、ZSK)(*3)を生成し、
JPゾーンに署名を行う。更に、ルートゾーンにDSレコードを登録する
ことで、ルートゾーンのトラストアンカー(*4)を基点にJPゾーンの
レコードの出自・完全性を検証できるようにする。
---------------------------------------------------------------
*3: 署名鍵は、署名に用いる公開鍵と秘密鍵(私有鍵)のペアである。
KSKは鍵署名鍵(Key Signing Key)、ZSKはゾーン署名鍵(Zone
Signing Key)である。
*4: トラストアンカーは、署名検証を行うリゾルバがDNSSECの信頼の
連鎖(Chain of Trust)を検証するために基点として使用する
KSK相当の情報である。
---------------------------------------------------------------
1.3.2. 指定事業者
指定事業者は、JPドメイン名登録申請等の取次に関する契約をレジス
トリと締結した者である。指定事業者は、1.3.3項に示す登録者または
登録しようとしている者からのJPドメイン名及びDSレコードについて
の各種申請をレジストリに取り次ぐ。
1.3.3. 登録者
登録者はJPドメイン名を登録している者である。登録者は、当該JPド
メイン名にDNSSECを導入する場合、署名鍵を生成し、当該ゾーン(以
下、「登録者ゾーン」という)に署名を行う。登録者は、DSレコード
を指定事業者を通じてレジストリに登録することで、登録者ゾーンの
レコードの出自・完全性を検証できるようにする。署名鍵の生成、登
録者ゾーンへの署名、DSレコードの生成は、登録者の指示により、
DNSプロバイダ(権威DNSサーバの運用サービスを行う者)が行うこと
がある。
1.3.4. 依拠当事者
依拠当事者(Relying Party)は、DNSプロバイダ、キャッシュDNSサー
バ運用者、インターネットユーザーなど、JP DNSSECサービスに関わる
すべての存在である。ここで、登録者ゾーンの管理を行うDNSプロバイ
ダを登録者ゾーン管理者という。登録者自身が登録者ゾーン管理者で
あることもある。
1.3.5. 監査人
JP DNSSECサービスがJP DPSに則って運用されているかどうか監査する
者をいう。
1.3.6. 適用範囲
JP DPSが適用される範囲はJPゾーンである。登録者ゾーンにおいては
それぞれの運用方針が適用され、JP DPSの適用範囲外である。DNSユー
ザーは、JPゾーンからのDNS応答の出自・完全性を検証できる。登録者
ゾーンからのDNS応答の出自・完全性の検証は、JP DPSの適用範囲外で
ある。
1.4. JP DPSの作成者及び更新手続き
1.4.1. 作成者
株式会社日本レジストリサービス(JPRS)
1.4.2. 連絡窓口
株式会社日本レジストリサービス(JPRS)JP DPS担当
電話番号:03-5215-8457
(9:00-18:00 土日祝祭日及び12月29日〜1月3日は除く)
電子メールアドレス:info@jprs.jp
1.4.3. 更新手続き
JP DPSについては、4.2.1項に示されるJP DPS管理担当者による年次の
定期見直しを行うほか、適宜見直しを行い、内容の更新を行う。同項
に示されるJP DNSSECサービス運営会議により更新内容の承認が行われ
たのち、2章の定めに従い、更新されたJP DPSを公開する。
2. 情報公開
2.1. JP DPSの公開
JP DPS(日本語)
https://jprs.jp/doc/dnssec/jp-dps-jpn.html
JP DPS(英語)
https://jprs.jp/doc/dnssec/jp-dps-eng.html
2.2. KSKの公開
レジストリは、JPゾーンのDSレコードをルートゾーンに登録すること
で、DNSSECの信頼の連鎖を構成する。このため、JPゾーンのKSK公開鍵
のトラストアンカーとしての公開は行わない。
2.3. 公開情報に関するアクセスコントロール
レジストリは、JP DPSに関して、読み取り専用の制御以外に特段のア
クセスコントロールを行わない。
3. DNSSEC運用における要件
3.1. ドメイン名の意味
JPゾーンにおけるドメイン名登録の目的と意味は下記文書の記述に従
う。
・属性型(組織種別型)・地域型JPドメイン名登録等に関する規則
http://jprs.jp/doc/rule/rule.html
第2条(属性型地域型JPドメイン名登録の目的と意味)
・汎用JPドメイン名登録等に関する規則
http://jprs.jp/doc/rule/rule-wideusejp.html
第2条(汎用JPドメイン名登録の目的と意味)
3.2. 登録者ゾーンの有効化
登録者ゾーンで使用されている署名鍵に対応するDSレコードが、レジ
ストリが管理するJPゾーンに登録され、レジストリの署名鍵で署名さ
れることにより、登録者ゾーンとJPゾーンの信頼の連鎖が構成される。
これにより、登録者ゾーンはDNSSEC対応ゾーンとして有効化される。
3.3. 登録者ゾーンに関する申請者の本人性確認
登録者ゾーンに関する申請者の本人性確認は、当該JPドメイン名を管
理する指定事業者(以下、「管理指定事業者」という)によって行わ
れる。レジストリは、所定の指定事業者認証手続きを通じて、DSレコー
ドの登録等の申請が管理指定事業者により行われていることを確認す
る。
3.4. DSレコードの登録
JPゾーンに登録者ゾーンのDSレコードを登録することにより、登録者
ゾーンのDNSSECによる検証が可能となる。DSレコードの仕様は、下記
文書の記述に従う。
・属性型(組織種別型)・地域型JPドメイン名登録等に関する技術細
則
http://jprs.jp/doc/rule/saisoku-1.html
3. 属性型・地域型JPドメイン名に設定可能な署名鍵の形式
・汎用JPドメイン名登録等に関する技術細則
http://jprs.jp/doc/rule/saisoku-1-wideusejp.html
5. 汎用JPドメイン名に設定可能な署名鍵の形式
3.4.1. 登録可能者
レジストリは、管理指定事業者からの申請に基づき、登録者ゾーンの
DSレコードをJPゾーンに登録する。管理指定事業者は、登録申請にお
いて登録者の意思を確認する。
3.4.2. 登録手続き
登録者は、管理指定事業者にDSレコードの登録を依頼する。管理指定
事業者は登録者の意思に基づき、レジストリ所定の手続きを用いてDS
レコードの登録申請を行う。これを受け、レジストリはJPゾーンに当
該DSレコードを登録する。レジストリにおける登録申請受領からJPゾー
ンへのDSレコードの登録までに要する時間はJP DNSの更新スケジュー
ルに準ずる。
3.4.3. 緊急の登録
本文書では、規定しない。
3.5. 秘密鍵保有事実の確認
レジストリは、登録者ゾーン管理者がDSレコードに対応する秘密鍵を
保有することに関する、管理指定事業者の確認要件を規定しない。
3.6. DSレコードの削除
JPゾーンから登録者ゾーンのDSレコードを削除することにより、登録
者ゾーンのDNSSECによる検証は不可となる。
3.6.1. 削除可能者
レジストリは、管理指定事業者からの申請に基づき、登録者ゾーンの
DSレコードをJPゾーンから削除する。管理指定事業者は、削除申請に
おいて登録者の意思を確認する。
3.6.2. 削除手続き
登録者は、管理指定事業者にDSレコードの削除を依頼する。管理指定
事業者は登録者の意思に基づき、レジストリ所定の手続きを用いてDS
レコードの削除申請を行う。これを受け、レジストリはJPゾーンから
当該DSレコードを削除する。レジストリにおける削除申請受領からJP
ゾーンからのDSレコードの削除までに要する時間はJP DNSの更新スケ
ジュールに準ずる。
3.6.3. 緊急の削除
本文書では、規定しない。
4. 施設、管理及び運用コントロール
4.1. 物理的管理
4.1.1. 施設の位置と構造
レジストリは、JP DNSSECサービスに関わる重要な設備・機器(以下、
「重要設備」という)を、水害、地震、火災、落雷その他の災害の被
害を容易に受けない場所(以下、「重要設備室」という)に設置する。
耐震・耐火及び不正侵入防止については建物構造上の対策を行う。建
物の内外には、重要設備室の所在についての表示を行わない。
4.1.2. 物理的なアクセス
レジストリは、重要設備室に関して、事前に定められた本人の特定及
び入室権限の確認を可能とする入退室管理を行う。レジストリは、入
室権限を有しない者の入室を原則として認めない。やむを得ずこれを
認める場合は、予めJP DNSSECサービスの管理を行う者の許可を得て、
入室権限者同行のうえでこの者を入室させることとする。
4.1.3. 電力と空調
レジストリは、重要設備の運用のために十分な容量の電源を確保する
とともに、瞬断、停電及び電圧・周波数の変動に備えた対策を講ずる。
また空調設備に関して、使用する機器類に悪影響を与えないよう維持
管理する。
4.1.4. 水害及び地震対策
レジストリは、重要設備室に防水対策を施し、浸水による被害を最小
限に抑える。また、JP DNSSECサービスに関わる設備・機器を設置する
建物は、耐震構造とし、機器及び什器の転倒及び落下を防止する対策
を講ずる。
4.1.5. 火災防止対策
レジストリは、重要設備を防火区画内に設置する。また防火区画内で
は電源設備や空調設備の防火措置を講じ、火災報知器及び消火設備の
設置を行う。
4.1.6. 媒体保管場所
レジストリは、JP DNSSECサービスに関わる重要なアーカイブデータ、
バックアップデータを含む記録媒体を適切な入退室管理が行われた室
内の保管庫に保管する。
4.1.7. 廃棄処理
レジストリは、JP DNSSECサービスに関わる秘密扱いとする情報を含む
書類・記録媒体について、情報の初期化・裁断等、事前に定められた
方法に従い適切に廃棄処理を行う。
4.1.8. オフサイトでのバックアップ
レジストリは、JP DNSSECサービスに関わる特定の重要情報を、十分に
遠隔な複数拠点に設置した重要設備室内の施錠可能な保管庫に保管す
る。
4.2. 手順の管理
4.2.1. 信頼される役割
JP DNSSECサービスの運用に関わる役割を以下に示す。
----------------------------------------------------------------
役割名称 役割の説明
(役割略称)
----------------------------------------------------------------
JP DNSSECサービス ・JP DNSSECサービス運用の統括
運営会議 ・JP DPS改訂の承認
(運営会議)
----------------------------------------------------------------
JP DPS管理責任者 ・JP DPS管理担当者の任命
(DPS管理責任者) ・JP DPS改訂案の確認
----------------------------------------------------------------
JP DPS管理担当者 ・JP DPS改訂案の作成
(DPS管理担当者)
----------------------------------------------------------------
JP DNSSEC署名鍵 ・JP DNSSEC署名鍵運用担当者の任命
運用責任者
(署名鍵運用責任者)
----------------------------------------------------------------
JP DNSSEC署名鍵 ・JP DNSSECサービスに使用するKSKのアク
運用担当者 ティベーション
(署名鍵運用担当者) ・同KSK・ZSKの生成・廃棄
・同KSK・ZSKのロールオーバー(更新)
・同KSK・ZSKによるJPゾーンへの署名作成
・同KSKのルートゾーンへの登録
・同KSKによるオペレーションの記録・保管
・その他、JP DNSSEC署名鍵運用責任者の指
示に基づく運用
----------------------------------------------------------------
JP DNSSECアクティベー ・JP DNSSECアクティベーション立会担当者
ション立会責任者 の任命
(アクティベーション
立会責任者)
----------------------------------------------------------------
JP DNSSECアクティベー ・JP DNSSECサービスに使用するKSKのアク
ション立会担当者 ティベーションの際の操作への立会い
(アクティベーション
立会担当者)
----------------------------------------------------------------
4.2.2. それぞれのタスクに必要な人員数
署名鍵運用担当者による担当タスク遂行の際は、複数人の構成とする。
KSKのアクティベーションを含むタスクを遂行する際は、これにアクティ
ベーション立会担当者を加えた構成とする。
4.2.3. 個々の役割に対する本人性確認と認証
重要設備を操作する権限は、操作を行う人員ごとに設定される。重要
設備の使用においては、操作を行う人員を認証のうえ、予め設定され
た操作権限が付与される。
4.2.4. 権限の分離
署名鍵運用担当者とアクティベーション立会担当者は、同一人員が任
命されることはない。これにより、署名鍵運用担当者のみによるKSKの
アクティベーションを不可とする。
4.3. 人員管理
4.3.1. 資格、経験及び身分証明の要件
4.2.1項に示す「信頼される役割」を担う者は、レジストリの正社員に
限るものとする。その他の役割を担う者は、レジストリの正社員また
はレジストリが特に認めた者とする。
4.3.2. 背景調査手順
本文書では、規定しない。
4.3.3. トレーニング
レジストリは、JP DNSSECサービスの運用人員に対するトレーニングを
次のように行う。
・JP DNSSECサービスの運用人員が役割に就く前に、その運用に必要な
トレーニングを実施する
・運用手順に変更がある場合、運用手順書の必要箇所を遅滞なく変更
し、その変更に関わるトレーニングを実施する
4.3.4. 再トレーニングの頻度と要件
レジストリは、JP DNSSECサービスの運用人員に対する再トレーニング
の必要性を定期的に検証する。また、必要な場合、再トレーニングを
行う。
4.3.5. 仕事のローテーションの頻度と順序
本文書では、規定しない。
4.3.6. 認められていない行動に対する処罰
本文書では、規定しない。
4.3.7. 独立した契約者の要件
本文書では、規定しない。
4.3.8. 資料の開示
レジストリは、JP DNSSECサービスの運用に必要な文書一式を運用人員
に開示し周知する。
4.4. イベントログ記録手順
4.4.1. 記録されるイベントの種類
JP DNSSECサービスに関わるシステムにおける誤操作・不正操作の検知
及び監査における運用の正当性の証明に必要なログ(以下、「イベン
トログ」という)として、レジストリは次のイベントについての履歴
を記録する。
・JP DNSSECサービスの設備へのアクセス履歴に関する記録
・署名鍵に関する操作の記録
+ JP DNSSECサービスに使用するKSKのアクティベーション
+ 同KSK・ZSKの生成・廃棄
+ 同KSK・ZSKのロールオーバー
+ 同KSK・ZSKによるJPゾーンへの署名作成
+ 同KSKのルートゾーンへの登録
・イベントログの記録事実の確認
イベントの記録には、日付、時刻、イベントを発生させた主体、イベ
ント内容を含む。
4.4.2. イベントログを処理する頻度
レジストリは、深刻なセキュリティ侵害が発生した場合などに備え、
十分迅速に把握可能な頻度においてイベントログの機械的な確認処理
を行う。この処理において対処すべき記録が検出された場合、適切な
人員に対して即時の通知を行う。
4.4.3. イベントログを保持する期間
レジストリは、イベントログを最低3カ月間は迅速にアクセス可能な方
法により保持する。なお、イベントログは最低3年間保持する。
4.4.4. イベントログの保護
レジストリは、イベントログにアクセスできる者を必要な人員のみに
制限し、アクセスを許可されていない者によるイベントログの閲覧、
改変又は削除から保護する。
4.4.5. イベントログのバックアップ手続
レジストリは、イベントログを外部記憶媒体に定期的にバックアップ
する。それら媒体は適切な入退室管理が行われている室内の施錠可能
な保管庫に保管される。
4.4.6. イベントログ情報の取得システム
オンラインのイベントログ取得システムはJP DNSSECサービスに用いる
システム(以下、「JP DNSSECサービスシステム」という)の一要素で
あり、その存在場所はJP DNSSECサービスシステムと同一である。オフ
ラインのイベントログは各々の作業担当者により記録され、レジスト
リ管理施設内の安全な保管庫に保管される。
4.4.7. イベントを発生させた主体への通知
本文書では、規定しない。
4.4.8. 脆弱性評価
レジストリは、4.4.2項に示す方針に基づき、JP DNSSECサービスシス
テムへのセキュリティ侵害試行などの許可されない行為について確認
を行うとともに、必要に応じ、システムの脆弱性分析を行う。
4.5. 危殆化と事故・災害
4.5.1. 危殆化と事故・災害への対処
レジストリは、JPゾーンの秘密鍵の危殆化又は危殆化のおそれがある
場合、署名鍵の緊急ロールオーバーを行う。事故・災害により、JP
DNSSECサービスが中断又は停止した場合、JP DNSSECサービスの速やか
な再開に努める。
4.5.2. コンピューター資源の破損
レジストリは、JP DNSSECサービスに関わる重要なハードウェア、ソフ
トウェア又はデータが破損した場合、事前に定められた復旧計画に従
い、バックアップ用のハードウェア、ソフトウェア又はデータにより、
速やかな復旧作業に努める。
4.5.3. 秘密鍵が危殆化した場合の手続
レジストリは、JPゾーンのKSKが危殆化した場合、次の手続を行う。
・JPゾーンのKSKの再生成
・JPゾーンの署名鍵への再生成したKSKによる署名
・ルートゾーンに登録しているDSレコードの置き換え
JPゾーンのZSKが危殆化した場合、次の手続を行う。
・JPゾーンのZSKの再生成
・再生成したZSKを含むJPゾーンの署名鍵へのKSKによる署名
・再生成したZSKによるJPゾーンへの署名
4.5.4. 災害後の事業継続能力
レジストリは、災害によりJP DNSSECサービスの設備が被害を受け、運
用を継続できない場合は、予め構築した遠隔バックアップサイトにお
いて速やかにサービスの回復に努める。
4.6. 組織の閉鎖
レジストリの閉鎖によりJP DNSSECサービスの継続が不能となる場合に
備え、JP DNSSECサービスに必要な情報をエスクローエージェントに預
託する。
http://jprs.co.jp/doc/redelegation/transfer_j.html
レジストリが閉鎖する場合、レジストリが規定する業務終了手続きに
従い、JP DNSSECサービスを終了する。
5. 技術的なセキュリティコントロール
5.1. 署名鍵の生成と導入
5.1.1. 署名鍵の生成
JP DNSSECサービスに用いる署名鍵は、重要設備室内に設置したオフラ
インのシステム環境(以下、「JP DNSSECサービスオフラインシステム」
という)において、複数人の署名鍵運用担当者により生成される。
KSKは、同システムに接続された暗号モジュール内部において専用のソ
フトウェアを用いて生成される。ZSKは、同システムで生成され、暗号
化処理を施した着脱可能なメディア(以下、「暗号化メディア」とい
う)内に格納される。
5.1.2. 公開鍵の配布
レジストリは、生成したKSK公開鍵及びZSK秘密鍵・公開鍵を、暗号化
メディアを用いてJP DNSSECサービスシステムに導入する。DNSプロト
コル以外の手段を用いたKSK公開鍵の依拠当事者への配布は行わない。
5.1.3. 署名鍵パラメータの品質管理
レジストリは、署名鍵の作成において、技術動向に照らし適切なパラ
メータが採用されていることを定期的に確認する。
5.1.4. 署名鍵の使用目的
レジストリは、署名鍵をJP DNSSECサービスにおける署名を生成するた
めに使用し、これ以外のいかなる用途にも使用しない。
5.2. 秘密鍵保護と暗号モジュール管理
5.2.1. 暗号モジュール標準と管理
本文書では、規定しない。
5.2.2. 複数人による秘密鍵管理
KSK秘密鍵の操作は、複数人の署名鍵運用担当者により行う。
5.2.3. 秘密鍵のエスクロー
秘密鍵のエスクローは行わない。
5.2.4. 秘密鍵のバックアップ
署名鍵運用担当者は、KSK秘密鍵のバックアップを暗号モジュールに複
数コピー作成する。この暗号モジュールは、4.1.8項に示されるそれぞ
れの重要設備室内の施錠可能な保管庫に格納される。
5.2.5. 暗号モジュール内の秘密鍵の保管
本文書では、規定しない。
5.2.6. 秘密鍵のアーカイブ
5.2.4項に示すバックアップ以外には、使用を停止した秘密鍵のアーカ
イブは行わない。
5.2.7. 暗号モジュールに対する秘密鍵の導入・取出し
暗号モジュールへのKSK秘密鍵導入後は、これを取出すことはできない。
また、暗号モジュール内のKSK秘密鍵使用の際は、複数人の署名鍵運用
担当者による操作を必要とする。暗号化メディアに対するZSK秘密鍵の
導入については、複数人の署名鍵運用担当者による操作を必要とする。
5.2.8. 秘密鍵のアクティベーション
KSK秘密鍵は、アクティベーション立会担当者による立会いのもと、
JP DNSSECサービスオフラインシステムにおいて、複数人の署名鍵運用
担当者によりアクティベート(活性化)される。ZSK秘密鍵は、複数人
の署名鍵運用担当者によりアクティベートされる。ZSK秘密鍵のアクティ
ブな状態は使用を停止するまで継続する。
5.2.9. 秘密鍵のディアクティベーション
KSK秘密鍵は、アクティベーション立会担当者による立会いのもと、署
名鍵運用担当者が使用する都度ディアクティベート(不活化)される。
ZSK秘密鍵は、5.3.2項に定義される使用期間を上限として、複数人の
署名鍵運用担当者によりディアクティベートされる。
5.2.10. 秘密鍵の消去
使用期間を過ぎたKSK秘密鍵及びZSK秘密鍵は、署名鍵運用担当者によ
り、使用が不可能になるような方法で消去される。
5.3. 署名鍵管理についての補足事項
5.3.1. 公開鍵のアーカイブ
使用を停止した公開鍵のアーカイブは行わない。
5.3.2. 署名鍵の使用期間
KSKの使用期間の上限は1年に適切な併行運用期間を加えたものとする。
ZSKの使用期間の上限は1ヶ月とする。レジストリは、特に必要な場合、
これらの期間を変更することがある。
5.4. アクティベーション情報
5.4.1. アクティベーション情報の生成と導入
アクティベーション情報とは、KSKをアクティベートするために使われ
るパスフレーズのセットをいう。署名鍵運用担当者が個々のパスフレー
ズを生成し、JP DNSSECサービスオフラインシステムに導入する。
5.4.2. アクティベーション情報の保護
それぞれの署名鍵運用担当者は、十分安全な方法によりアクティベー
ション情報を保護する。
5.4.3. アクティベーション情報についての補足事項
署名鍵運用担当者は、緊急の場合に備え、アクティベーション情報の
複製を作成し、タンパ証跡(耐タンパ性)のある封書に封印する。こ
の封印を解く必要がある場合は、署名鍵運用責任者の指揮の下で行う。
5.5. コンピュータのセキュリティ管理
JP DNSSECサービスシステムにおける重要なコンピュータ(以下、「重
要コンピュータ」という)では、レジストリが規定する必要最小限の
ソフトウェアのみを稼働させることとする。重要コンピュータに対し
て行われた重要な操作については、イベントログが残るよう設定する。
重要コンピュータにアクセスするための全ての認証情報について、適
切な管理を行う。重要コンピュータに対するリソース監視を継続的に
行い、異常や不正操作を検知した際は、速やかに適切な対策を実施す
る。
5.6. ネットワークのセキュリティ管理
JP DNSSECサービスシステムを配置するネットワークにはファイアウォー
ルを適用し、レジストリが規定する必要最小限の通信に制限する。
5.7. タイムスタンプ
レジストリは、JP DNSSECサービスオフラインシステムについて、信頼
できる時刻源から時刻を取得し、時刻同期を行う。JP DNSSECサービス
システムについては、NTP(ネットワークタイムプロトコル)により時
刻を取得し、時刻同期を行う。これらの時刻は、4.4節に示されるイベ
ントログの記録時刻、及び、RRSIGレコードにおける署名有効期間の開
始時刻と終了時刻として使用される。
5.8. 技術上のライフサイクル管理
5.8.1. システム開発の管理
レジストリは、JP DNSSECサービスシステムの品質及びセキュリティを
保つために、システム開発時における各工程の管理、導入前のシステ
ム評価等を実施する。
5.8.2. システムのセキュリティ管理
レジストリは、JP DNSSECサービスシステムのセキュリティ管理として、
入退室管理、教育を含む要員管理、権限管理等の運用管理、不正侵入
対策、ウイルス対策等のシステム的なセキュリティ対策を実施する。
5.8.3. ライフサイクルのセキュリティ管理
レジストリは、JP DNSSECサービスシステムの開発が規定された方法に
より管理されているか定期的に評価する。併せて、セキュリティに関
する情報収集を行い、技術動向等を考慮したうえで、システムの評価
及び改善を行う。
6. ゾーン署名
6.1. 鍵長とアルゴリズム
JPゾーンで使用する署名鍵のアルゴリズムには、標準プロトコルで定
義されるものを用いる。署名鍵のアルゴリズムと鍵長は、使用期間に
対して安全と考えられるものを用いる。KSK、ZSKともにアルゴリズム
をRFC 5702で定義されたRSASHA256とし、KSKの鍵長を2048ビット、
ZSKの鍵長を1024ビットとする。
6.2. 不在証明
JPゾーンの不在証明には、RFC 5155で定義されたNSEC3レコードを用い
る方式を採用する。NSEC3の運用においてはオプトアウト方式を採用す
る。
6.3. 署名フォーマット
JPゾーンの署名には、RFC 5702で定義されたRSA/SHA-2によるフォーマッ
トを用いる。
6.4. ZSKのロールオーバー
JPゾーンでは、ZSKのロールオーバーは月次で行う。更新方式には事前
公開法(Pre-Publish; RFC 4641)を用いる。
6.5. KSKのロールオーバー
JPゾーンでは、KSKのロールオーバーは年次で行う。更新方式には二重
署名法(Double Signature; RFC 4641)を用いる。
6.6. 署名の有効期間と再署名頻度
JPゾーンでは、KSKによる署名有効期間を概ね2ヶ月、ZSKによる署名有
効期間を概ね1ヶ月とする。KSKによる再署名は1ヶ月ごと、ZSKによる
再署名は1週間ごとに行う。
6.7. ZSKの検証
レジストリは、ZSKの公開に先立ち、下記の各工程が正しく実施されて
いることを確認する。
・オフラインで、安全な方法を用いてZSKを生成する
・オフラインで、当該ZSKをDNSKEY RRセットに加え、KSKで署名する
・専用の安全な伝送路を用いて、当該ZSK及び署名を伝送する
・当該ZSKがJPゾーンへの信頼の連鎖を構成できることを検証する
6.8. リソースレコードの検証
レジストリは、ゾーン公開前にすべてのリソースレコードが標準プロ
トコルに準拠していることを検証する。
6.9. リソースレコードのTTL
JPゾーンでは、DNSKEY、DS、及びこれらに対するRRSIGのTTLは
86400(1日)とする。NSEC3、NSEC3PARAM、及びこれらに対するRRSIG
のTTLはJPゾーンのネガティブキャッシュ値と同じ900(15分)とする。
これらのTTLについては、技術動向等に照らし、より適切と考えられる
値に変更することがある。
7. 準拠性監査
JP DNSSECサービスの運用にあたり、1.3.5項に示す監査人による定期
的な監査を行う。監査結果はレジストリに通達され、レジストリは必
要に応じた運用改善の計画・実施を行う。
8. 法的事項
レジストリは、JP DPSに記述される事項に基づいては、何人に対して
も法的責任は負わないものとする。
レジストリは、JP DNSSECサービスの運用にあたり、日本国法及びレジ
ストリが定める各種ルールに従う。
http://jprs.jp/info/document.html
|