JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト


増刊号

vol.72

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━2007-04-18━
                    ◆ FROM JPRS 増刊号 vol.72 ◆
━!JP━━━━━━━━━━━━━━━━━━━━━━━━━JPRS━━
___________________________________

 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
                     ICANNリスボン会合報告(第3回)
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ICANNリスボン会合報告の最終回となる本号では、ccTLDにおける技術的話題を
扱う「ccTLD Technical Meeting」と、インターネットのセキュリティと安定
性に関する話題を扱う「SSAC(Security and Stability Advisory Committee)
Open Meeting」を取り上げます。

また今回の会合では「DNSSEC for TLDs」と題し、TLDにおけるDNSSECの導入事
例として、スウェーデン(.se)とブルガリア(.bg)の紹介がありました。こ
れについても併せて報告します。

          ◇                     ◇                     ◇

■ccTLD Technical Meeting

ccTLD Technical Meetingでは、2006年12月にブラジルで開催されたICANNサン
パウロ会合に引き続き、韓国、ポルトガル、カナダ、日本の各ccTLDレジスト
リより、それぞれのレジストリシステムの構成や運用の紹介などが行われまし
た。

まず、韓国(.kr)からは、レジストリシステムの紹介に加え、DNS常時監視シ
ステムの開発についての紹介がありました。開発のきっかけは、2003年に
Slammerウイルスの被害により韓国のインターネットが約36時間にわたってほ
ぼ全面的に停止したことによるもので、それを機に、DNSを常時監視するシス
テムを独自で開発し、2006年から正式運用を行っているとの報告がありました。
このシステムはIP Anycastサイトを含む各DNSサーバのリアルタイムのアクセ
ス状況から個別のサーバの過去の任意のアクセスまでをグラフィカルなインタ
フェースで提供するもので、これによりDNSサーバへの異常なアクセスを早期
に検知し、迅速な対応を行うことができるようになりました。

ポルトガル(.pt)からは、レジストリシステムおよびDNSサーバの構成の説明
に加え、DNSのアクセス状況をリアルタイムに解析してデータベース化し、DNS
サーバへのアクセス状況を効率的に把握するためのシステムを独自に構築した
との紹介がありました。

カナダ(.ca)からは、レジストリシステムのハードウェア更新に関する紹介
がありました。2006年には、ストレージ機器とブレードサーバを用いたシンプ
ルでコンパクトなシステムを構築し、2007年からはデータベース同期の仕組み
を用いてバックアップ拠点の構築を行い、レジストリシステムの信頼性の向上
を計画しているとの報告もありました。

最後に日本(.jp)からは、JPRSの佐藤新太がレジストリシステムとDNSの構成
の紹介を行いました。また、IP Anycast海外拠点のテスト運用を行った際の計
測データを元に、遠隔地の拠点追加によるアクセス状況の変動に関する説明を
行いました。

参加者にはそれぞれのccTLDで実際に技術面や運用面を担っている技術者も多
く、データベースの同期方法や、各ccTLDが構築しているシステムなどに関し
て多くの質問が寄せられました。また、DoS攻撃への対応手段としてIP Anycast
の導入を検討しているccTLDも多く、これらについての意見交換も活発に行わ
れました。

その他、2007年2月に発生した「ルートサーバへのDDoS攻撃」について、また、
「レジストラの視点から見たccTLD」についての報告もあり、意見が寄せられ
ました。

ルートサーバへのDDoS攻撃については、FROM JPRS増刊号「NANOG 38報告」も
ご参照ください。

■DNSSEC for TLDs - TLDにおけるDNSSECの導入事例

DNSSECはIETFにおいてNSEC3(*1)プロトコルのRFC化の見通しが立ち、技術面
での開発はほぼ完了しました。しかし、実際にDNSSECを普及させるための戦略
はまだ明確になっていません。そこで、他に先駆けてDNSSECの実運用サービス
を開始したスウェーデン(.se)とブルガリア(.bg)について、その経験を共
有するための場が特別に設けられました。

特にスウェーデンではTLDレジストリのみならず、政府やISP、銀行といった複
数の組織が共同で、インターネットの安全性を向上させるための重要な取り組
みの1つとしてDNSSECの導入を行っており、その活動には興味深いものがあり
ます。ここでは、今回発表された、スウェーデンにおけるDNSSECへの取り組み
について報告します。

.seのレジストリがドメイン名登録者に対して行った調査では、登録者の
DNSSECサービスに対する興味は高く、DNSSECの導入によるある程度の費用負担
増も可能であるという結果であったとのことでした。また、スウェーデンの4 
つの大手ISPがDNSSECに対応することにより、スウェーデン全体のブロードバ
ンド利用者の80~90%をカバー出来るとのことで、ISPの協力によりスウェーデ
ン全体へのDNSSECの導入を行うための下地は整っているとのことでした。

スウェーデンからは大手銀行であるSwedbankの担当者も参加しており、顧客を
ファーミングやフィッシングから守る手段の一つとしてDNSSECが有効であると
考え、導入に前向きであるとの報告がありました。現在のDNS運用に比べると、
DNSSECを用いたDNS運用には追加の工数がかかりますが、鍵管理の仕組みさえ
理解できればそれほど大きな手間ではないと考えているとのことです。具体的
な手法はまだ明確ではありませんが、2008年には何らかの形でサービスを開始
する予定であるとのことでした。

このようにスウェーデンでは各機関が協力してDNSSECを導入することにより、
ドメイン名の安全性を向上させようという試みが行われ始めています。しかし、
DNSSEC導入における従来からの問題の1つである、DNSSECを一般利用者が利用
する場合のアプリケーションの対応をどのように行うかについては、スウェー
デン、ブルガリアにおいても未解決の状態であるとのことでした。

DNSSECはドメイン名とDNSの安全性を高めるための重要な技術です。今後も
FROM JPRSでは、DNSSECに関する最新動向を随時報告していきます。

(*1)NSEC3

    DNSSECを改良するために導入された新しいリソースレコード。あるゾーン
    にDNSSECを適用した場合に、そのゾーンに登録されている全ての情報を誰
    でも外部から取得できる状態になること(zone enumeration問題)を回避
    するために導入された。

■SSAC Open Meeting

SSAC(Security and Stability Advisory Committee:セキュリティと安定性
に関する諮問委員会)からは、RSSAC(Root Server System Advisory
Committee:ルートサーバシステム諮問委員会)と共同で実施したルートサー
バへのIPv6アドレスの追加に向けた活動と、現在進行中の幾つかの調査につい
て報告がありました。

▼ルートサーバの安定動作に関する活動

ルートサーバがIPv6アドレスを持つにあたり、ルートサーバのアドレス情報を
記載したhintsファイルと、DNSサーバ起動時にルートサーバのアドレスを確認
するための初期問合せによる影響について検討されたことが報告されました。

ルートサーバがIPv6のアドレスを持った場合、初期問合せの応答は512バイト
以上のサイズになりますが、一部のファイアウォール等では、DoS対策として
512バイト以上の応答をブロックする場合があります。これがルートサーバへ
のIPv6導入にあたっての障害となるのではないかとされていましたが、これは
設定変更により対応可能であるもので、IANAが日程を事前に十分周知した上で、
IPv6の導入をすればよいという報告内容でした。これらの詳細は、SSAC Webサ
イトに掲載されている報告書をご参照ください。

一方、IDN TLDに関しては、SSACの観点として、今後セキュリティおよび安定
性に関する影響があるかの確認を行い、10月には結果を報告書としてまとめる
予定であるとのことでした。

ルートサーバの安定動作は、インターネットそのものの安定運用にとって必須
条件の1つです。FROM JPRSでは今後も、本件に関する情報発信を行っていきま
す。

▼Whois spamに関する調査

Whoisでメールアドレスを公開することで、spamメールの受け取りが増えると
言われていますが、その実態は明確になっていないため、TLDをまたいだ横断
的な調査を実施することになりました。テスト用のメールアドレスを実際に
Whoisで公開し、登録するTLDやレジストラによる違いなど、いくつかのパター
ンでテストを始めています。

SSACではこのような調査を実施することによりWhoisの利用状況をより具体的
に把握し、ICANNの場におけるWhoisも含めた情報公開のあり方の検討につなげ
るための活動も行っています。

◎関連URI

    ccTLD Technical Meeting
    http://www.icann.org/meetings/lisbon/agenda-cctld-29mar07.htm

    DNSSEC for TLDs: Experience from Sweden and Bulgaria
    http://www.icann.org/meetings/lisbon/agenda-dnssec-28mar07.htm

    SSAC Open Meeting
    http://www.icann.org/meetings/lisbon/agenda-ssac-28mar07.htm

    Security and Stability Advisory Committee
    http://www.icann.org/committees/security/

    DNS Root Server System Advisory Committee
    http://www.icann.org/committees/dns-root/

━!JP━━━━━━━━━━━━━━━━━━━━━━━━━JPRS━━
              編集・発行:株式会社日本レジストリサービス(JPRS)
                            http://jprs.jp/
                            http://日本レジストリサービス.jp/
  ドメイン名情               … http://jpinfo.jp/
  メールニュース配信解除     … http://jpinfo.jp/mail/
  ご意見・ご要望             … from@jprs.jp

当メールニュースの全文または一部の文章をホームページ、メーリングリスト、
ニュースグループまたは他のメディア等へ許可なく転載することを禁止します。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Copyright(C), 2007 Japan Registry Services Co., Ltd. 2007年04月18日