JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト

増刊号

vol.105

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━2010-12-24━
          ◆ FROM JPRS 増刊号 vol.105 ◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
___________________________________

 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
            普及段階を迎えるDNSSEC
       ~運用ノウハウの蓄積と共有が今後の課題に~
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ルートゾーンやTLDにおけるDNSSECの導入が積極的に進められた2010年はまさ
に「DNSSEC導入元年」であったといえるでしょう。2010年はまた、DNS応答の
偽造によるセキュリティ上の脅威を初めて指摘したスティーブン・ベロビン氏
の論文が書かれた1990年(*1)から20年目を迎えた、節目の年でもありました。

(*1)同氏は既に広まりつつあったインターネットへの影響の大きさを考慮し、
   この論文を1995年まで公表しませんでした。

今回のFROM JPRSでは「DNSSEC導入元年」となった2010年におけるDNSSECの導
入状況と、普及段階を迎えたDNSSECの今後の展望と課題についてお伝えします。

     ◇           ◇           ◇

■ルートゾーンへのDNSSECの導入

▼長年にわたり望まれてきたルートゾーンへの導入

あるドメイン名をDNSSECで検証するためには、検証する側が信頼の拠点(トラ
ストアンカー)として設定したゾーンからそのドメイン名が属しているゾーン
までのすべての階層において、DNSSECによる信頼の連鎖が構築されている必要
があります。

DNSSECでは信頼の拠点を任意のゾーンに対して設定することができますが、
DNSはルートゾーンを基点とする階層構造により構成されているため、ルート
ゾーンを信頼の拠点として設定することにより、DNSにおける権限委任の構造
とDNSSECにおける信頼の連鎖の構造を一致させることができ、従来のDNSにお
ける管理運用の仕組みをDNSSECにそのまま適用することができます。このため、
ルートゾーンにおけるDNSSECの導入、すなわち、ルートゾーンにおける
DNSSEC署名の実現が、従来から強く望まれてきました。

▼導入が遅れた理由~「既に動いているもの」への導入の難しさ

このような背景からルートゾーンにおけるDNSSECの導入は、DNSSECが開発され
始めた1990年代から2000年代を通じての、解決すべき大きな課題の一つとなり
ました。しかし、いくつかの理由によりルートゾーンへのDNSSECの導入は、当
初の目論見よりも大きく遅れることとなりました。

ルートゾーンへのDNSSECの導入が遅れた理由として、DNSSECのプロトコルその
ものの開発に当初の予想以上の時間を要したこと、インターネットにおける意
思決定の構造が複雑化し、従来よりもより多くの時間を要するようになったこ
となどが挙げられます。

中でも一番大きなものとして、インターネットそのものの重要性の向上を挙げ
ることができます。DNSにおける最初の脅威の指摘から現在までの20年の間に、
研究者や技術者のためのネットワークであったインターネットはその役割を大
きく変え、今や重要な社会基盤の一つとして、私たちの活動に不可欠ともいえ
る存在になりました。これは、インターネットそのものが大きく成長しその重
要性が飛躍的に向上したことを示していますが、一方、その管理運用、特に
DNSSECやIPv6、あるいは国際化ドメイン名(IDN)などといったインターネッ
トの根幹部分に対する新技術の導入に対し、より慎重な検討が求められるよう
になったということも意味しています。

▼慎重に進められたルートゾーンへの導入

そのため、ルートゾーンへのDNSSECの導入は、既存のインターネットへの影響
を最小限にとどめるべく、細心の注意を払った慎重かつ段階的な導入が図られ
ることとなりました。過去に配信したFROM JPRS増刊号「ルートゾーンへの
DNSSECの導入と展開」及び「DNSSECの導入状況とDNSSEC運用ガイドラインの改
良に向けた取り組み」などでもご紹介したように、ルートゾーンへのDNSSECの
導入を図る専門のデザインチームがICANNに組織され、DNS-OARC(*2)などの
専門家の協力を得ながら、既存のDNSへの影響を最小限にとどめる形で導入が
進められていきました。

(*2)DNS-OARC: The DNS Operations, Analysis, and Research Center
   インターネットで広く利用されているDNSに関する運用、分析、調査研
   究に関する各種活動を通じ、DNSをより安全で高品質なものとすること
   を目的として、2004年に設立された国際組織です。
   https://www.dns-oarc.net/

また、ルートゾーンにおける鍵署名鍵(KSK)の作成・使用についても、世界
のインターネットコミュニティを代表するメンバー(TCR)の立会い・参加の
下、作業が進められました。

▼IANAにおける登録管理システムの整備

同時に、ルートゾーンの管理を担当するIANAにおいても、登録管理体制の整備
が進められていきました。さまざまな関係者の努力により、2000年代の初めに
はTLDによる申請から一カ月以上かかることも珍しくなかったルートゾーンの
登録情報の更新が、現在では政治的判断を必要としないもの、例えばDNSSECの
DSレコードの登録やネームサーバーホストの一部変更については、申請から数
日~10日程度で円滑に処理されるようになっています(*3)。

(*3)2010年12月6日に申請した.jpに対するDSレコードの登録・公開は、申請
   から4日間で実施されました。

そして、ベロビン氏の最初の論文執筆から20年目となる2010年、ルートゾーン
へのDNSSECの導入がついに実現し、DNSSECの普及に向けた大きな一歩を踏み出
すこととなりました。

■TLDへのDNSSECの導入が急速に進展

ルートゾーンがDNSSECに対応した2010年は、TLDにおけるDNSSECの導入が急速
に進展した年でもありました。2010年12月21日現在、ルートゾーンに存在する
294のTLDのうち65のTLDが自らのゾーンのDNSSEC署名を実施しており、そのう
ち58のTLDがルートゾーンへのDSレコードの登録・公開を実施しています。

2010年12月21日現在でゾーンの署名を実施している主なTLDを表1に示します。
これらのTLDのほとんどが2010年に署名を実施しており、この点からも2010年
が「DNSSEC導入元年」であったことを裏付けています。

 +-------+------------------------------------------------------+
 |TLD種別| 主なTLD                                              |
 +-------+------------------------------------------------------+
 | ccTLD | be(ベルギー), bg(ブルガリア), br(ブラジル),    |
 |       | ch(スイス), cl(チリ), cz(チェコ),              |
 |       | dk(デンマーク), eu(欧州連合), fi(フィンランド),|
 |       | fr(フランス), gr(ギリシャ), in(インド),        |
 |       | jp(日本), my(マレーシア), se(スウェーデン),    |
 |       | th(タイ), uk(英国), us(米国)など               |
 +-------+------------------------------------------------------+
 | gTLD  | asia, biz, cat, edu, gov, info, museum, net, org     |
 +-------+------------------------------------------------------+
 |その他 | arpa                                                 |
 +-------+------------------------------------------------------+
  表1: ゾーンの署名を実施済みの主なTLD一覧(2010年12月21日現在)

.jpにおいても2010年10月17日にゾーンの署名を実施し、2010年12月10日に
ルートゾーンにおけるDS情報の登録・公開を完了しました。JPRSでは2011年
1月16日より指定事業者からのDSレコードの登録受け付けを開始し、JPドメイ
ン名サービスへのDNSSECの正式導入を実施する予定です。

■既存システムの対応と運用ノウハウの蓄積・共有が今後の課題に

2011年には.jp及び.comという、日本で最も多く運用されている二つのTLDにお
けるDNSSECの正式運用が開始されます。DNSSECはこれまでの開発段階から、次
のステップである普及段階を迎えつつあると言ってもよいでしょう。

一方、2010年にはDNSSECに関連する障害が、TLDレジストリを含むいくつかの
ドメイン名・組織において発生した年でもありました。2010年に発生した
DNSSECに関連する主な障害事例を表2に示します。

 +-----------+--------------------------------------------------+
 | 組織名    | 障害の原因・概要                                 |
 +-----------+--------------------------------------------------+
 |RIPE NCC   | 管理システムの障害による署名の有効期限設定ミス   |
 +-----------+--------------------------------------------------+
 |Nominet UK | 主システムとバックアップシステムにおける鍵の相違 |
 +-----------+--------------------------------------------------+
 |mozilla.org| 自ゾーンの署名より先にDSレコードを親に登録       |
 +-----------+--------------------------------------------------+
 |iab.org    | 人為的ミスによると思われる署名の有効期限切れ     |
 +-----------+--------------------------------------------------+
     表2: 2010年に発生したDNSSECに関連する主な障害事例

このようにDNSSECに発生する障害の原因はさまざまですが、今後これらの障害
の早期発見と再発防止を図っていくためには、DNSSECに関する運用経験と、そ
こから得られるさまざまな運用ノウハウの蓄積と共有が必要になります。
JPRSでは関係者と共同で進めている技術検証結果やDNSSEC関連技術文書・関連
RFCの翻訳の公開、DNSSECの導入・普及のために設立されたDNSSECジャパンに
おける活動などを通じ、運用経験と運用ノウハウの蓄積・共有を図っています。

DNSSECの普及によりインターネットの安全性の向上を図る際には、インター
ネットにおいてDNSを管理運用するすべての関係者の協力が欠かせません。
インターネットの安全性向上のため、ドメイン名・DNSにかかわる多くの皆さ
まのご協力を、重ねてよろしくお願いいたします。

     ◇           ◇           ◇

◎関連URI

 - Bellovin, S., "Using the Domain Name System for System Break-Ins",
  Proceedings of the Fifth Usenix Unix Security Symposium, June 1995.
  http://www.usenix.org/publications/library/proceedings/security95/full_papers/bellovin.pdf
  (ベロビン氏の論文「システム侵入のためのドメインネームシステムの
  使用」)

 - Root DNSSEC
  http://www.root-dnssec.org/
  (ルートゾーンのDNSSEC署名に関する公式サイト)

 - IANA - Root Zone Management
  http://www.iana.org/domains/root/
  (ルートゾーン管理に関するIANAのWebページ)

 - ICANN Research - TLD DNSSEC Report
  http://stats.research.icann.org/dns/tld_report/
  (ICANNによるTLDのDNSSEC対応状況レポート)

 - JPドメイン名サービスへのDNSSECの導入予定について
  http://jprs.jp/info/notice/20090709-dnssec.html
  (.jpへのDNSSEC導入についてのアナウンス)

 - JPRSの民田雅人がICANNのルートゾーンDNSSEC運用のTCRに選出
  http://jprs.co.jp/press/2010/100617.html
  (JPRSプレスリリース)

 - 安心の鍵は変わらぬ愛と親子の絆 ~ランチのおともにDNS~
  http://jprs.jp/tech/material/iw2010-lunch-L2-01.pdf
  (Internet Week 2010ランチセミナー発表資料: DNSSEC障害事例を紹介)

━━━━━━━━━━━━━━━━━━━━━━━━━━━【FROM JPRS】━
■会議報告:http://jpinfo.jp/event/
■配信先メールアドレスなどの変更:http://jpinfo.jp/mail/henkou.html
■バックナンバー:http://jpinfo.jp/mail/backnumber/
■ご意見・ご要望:from@jprs.jp

当メールマガジンの全文または一部の文章をホームページ、メーリングリスト、
ニュースグループ、他のメディアなどへ許可なく転載することを禁止します。
また、当メールマガジンには第三者のサイトへのリンクが含まれていますが、
リンク先のサイトの内容などについては、JPRSの責任の範囲外であることに
ご注意ください。
その他、ご利用にあたっての注意事項は読者登録規約にてご確認ください。
http://jpinfo.jp/mail/kiyaku.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
編集・発行:株式会社日本レジストリサービス(JPRS)
http://jprs.jp/
http://日本レジストリサービス.jp/
Copyright(C), 2010 Japan Registry Services Co., Ltd.