JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト

メールマガジン「FROM JPRS」

バックナンバー:vol.183

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━2019/06/27━
                    ◆ FROM JPRS 増刊号 vol.183 ◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
___________________________________

 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
                   Interop Tokyo 2019 JPRS活動報告
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

JPRSは今年も、6月12日から14日までの3日間にわたり幕張メッセで開催された
「Interop Tokyo 2019」の展示会にブース出展しました。Interop Tokyo 2019
は、最新のICTとそのソリューションを体感できるイベントで、来場者数は昨
年を上回る約15万6千人となりました。

JPRSブースでは、ミニセミナーや展示の形式でドメイン名とDNSの基礎知識や
セキュリティやサーバー証明書、DNSに対するDDoS攻撃やその対策について情
報提供を行いました。

今回のFROM JPRSでは、JPRSブースで開催した以下の三つのミニセミナーの概
要をお届けします。今回のミニセミナーでは、ドメイン名とDNSだけでなく、
JPRSが2016年4月に提供を開始した「サーバー証明書」に関する話題や、DNSに
対するDDoS攻撃とその対策についても取り上げました。

  1. インターネットでもやっぱり「名前」が大切!
     ドメイン名とDNSの基礎知識
  2. インターネットの通信に安全を!
     押さえておきたいHTTPS化とサーバー証明書の基本
  3. オリンピックイヤーを控えて、改めて考える
     DNSに対するDDoS攻撃とその対策

           ◇                     ◇                     ◇


■インターネットでもやっぱり「名前」が大切!
  ドメイン名とDNSの基礎知識

WebサイトのURLやメールアドレスに使われるドメイン名はインターネットの利
用に欠かすことのできない「名前」です。ドメイン名の末尾にある「.jp」や
「.com」などの文字列「トップレベルドメイン(TLD)」は、国や地域に割り
当てられた2文字のccTLDと3文字以上のgTLDに大別できます。

また、TLDごとにICANN[*1]から委任される形でドメイン名の登録管理を行う
「レジストリ」と呼ばれる組織が存在します。日本に割り当てられたccTLD
「.jp」のレジストリがJPRSです。

[*1] Internet Corporation for Assigned Names and Numbersの略称で、ドメ
     イン名、IPアドレスなどのインターネット資源管理に関する調整を行う
     ために設立された民間の非営利法人です。
     https://jprs.jp/glossary/index.php?ID=0028

個人や企業、組織が「△△△.jp」などのドメイン名を独自に登録するメリッ
トとして、以下の項目が挙げられます。

  ・好きな文字列をドメイン名として利用できるため、Webサイトの内容や、
    どの企業のメールアドレスであるかを伝えやすくなる
  ・アドレスが短く、分かりやすくなる
  ・サービスプロバイダーを変更しても、アドレス変更の必要がない

そして、DNS(Domain Name System)は、Webサイトにアクセスする際などに
ドメイン名とIPアドレスの対応付けを行います。世界中に約3億5,000万件存在
するドメイン名[*2]の安定運用のため、DNSはルートサーバーから始まる階層
構造を取っており、JPRSの管理する「JP DNS」は日本のインターネットにおい
て重要な存在です。

[*2] 詳細については以下をご参照ください。
     The Verisign Domain Name Industry Brief Q4 2018(VeriSign)
     https://www.verisign.com/assets/domain-name-report-Q42018.pdf

JPRSは150万件以上ある「.jp」の登録管理と、JP DNSの運用にとどまらず、
A~Mまで13系列存在するルートサーバーの一つである「Mルートサーバー」を
WIDEプロジェクトと共同運用しています[*3]。また、ドメイン名・DNSに関す
る技術の標準化やDNSの運用に携わる方々への情報提供など、さまざまな活動
に取り組んでいます。

[*3] ルートサーバーやMルートサーバーについては、以下をご参照ください。
     JPRS トピックス&コラム No.6
     インターネットの根幹を支える~ルートサーバーの状況とMルートサー
     バー~
     https://jprs.jp/related-info/guide/topics-column/no6.html

■インターネットの通信に安全を!
  押さえておきたいHTTPS化とサーバー証明書の基本

WebサイトのURLの先頭に付いている「http」や「https」。どちらもWebコンテ
ンツを転送する通信手段ですが、「https」の「s」は「Secure(安全)」を表
し、「http」で行う通信よりも安全であることを示しています。

「https」が「http」より安全な理由として、大きく2点が挙げられます。

  ・httpsでやりとりする相手は、信頼のおける第三者機関「認証局[*4]」
    によって証明されている
  ・httpsでやりとりする通信は暗号化される

[*4] 認証局の役割については、以下をご参照ください。
     JPRS トピックス&コラム No.23
     今改めて知っておきたい、サーバー証明書の基礎知識~サーバー証明書
     の役割とその種類~
     https://jprs.jp/related-info/guide/topics-column/no23.html

これらの理由により、「https」の通信では以下のような事態を防ぐことがで
きます。

  ・通信相手が本物になりすました偽物だった
  ・通信内容を盗聴されてしまった
  ・通信内容を違う内容に改ざんされてしまった

具体例として、オンラインショッピングで個人情報を入力する際、第三者が通
信を傍受できたとしても、httpsから始まっているURLであれば(HTTPS化され
ていれば)内容が暗号化されているため、盗聴を防ぐことができます。

また、偽サイトへの誘導やCookieの盗聴などを防ぐため、特定のページだけで
なくWebサイト全体をHTTPS化する「常時SSL化[*5]」が進んでいます。主要な
Webブラウザーでは、「http」のWebサイトを表示する際、アドレスバーに警告
が表示されることがあり、例えばGoogle Chrome 68以降では「保護されていな
い通信」、Safari 12.1以降では「安全ではありません」と表示されます[*6]。
Webサイト訪問者に不安を与える警告を表示させないためにも、Webサイト全体
をHTTPS化する常時SSL化が重要です。

[*5] 詳細については以下をご参照ください。
     常時SSL化について | JPRS
     https://jprs.jp/pubcert/about/aossl/

[*6] iPhone/iPad/Macで「安全ではありません」が表示される理由とその解決
     方法 | JPRS
     https://jprs.jp/pubcert/about/guide/20190513-safari-warning.html

HTTPS化に必要な「サーバー証明書」の設定には、以下の手順が必要です。

  1. CSR(Certificate Signing Request)の作成[*7]
  2. サーバー証明書の申し込み
  3. 認証局による認証手続き[*8]
  4. サーバー証明書のインストール[*7]

[*7] JPRSサーバー証明書の場合については以下をご参照ください。
     設定マニュアル | JPRS
     https://jprs.jp/pubcert/service/manual/

[*8] JPRSサーバー証明書の場合については以下をご参照ください。
     認証方法について | JPRS
     https://jprs.jp/pubcert/service/authentication/

セミナーでは、一部の認証局の証明書が、認証局自身の不手際・不正行為に
よって無効化された事例をご紹介し、信頼できる認証局のサーバー証明書を
選ぶことが大切であると説明しました。

JPRSもサーバー証明書を提供していますので、HTTPS化をお考えの際は、ぜひ
ご検討ください。
https://jprsサーバー証明書.jp/

■オリンピックイヤーを控えて、改めて考える
  DNSに対するDDoS攻撃とその対策

2012年のロンドン大会以降、オリンピックイヤーにおけるサイバー攻撃の増加
が報告されています。本セミナーでは来年に迫った東京大会を控え、DNSに対
するDDoS攻撃の影響とその対策、JPRSにおける取り組みについて紹介しました。

▽DNSに対するDDoS攻撃とその影響

2016年の8月~9月に国内の複数のサイトにおいて、また、同年10月に北米地域
を中心とする複数のネットサービスにおいて発生した、大規模な障害事例を紹
介しました。これらはDDoS攻撃により権威DNSサーバーがサービス不能に陥っ
たことで引き起こされたもので、権威DNSサーバーのサービスダウンが、さま
ざまなネットサービスの提供・利用に、多大な影響を及ぼしました。

DNSには権威DNSサーバー、フルリゾルバー(キャッシュDNSサーバー)、フォ
ワーダー/スタブリゾルバーの三つの構成要素があります。それらのうち権威
DNSサーバーが狙われてサービスが提供できなくなると、そのサーバーが管理
するすべてのドメイン名に影響が及びます。

また、DNSを攻撃する目的にはDDoS攻撃のようにDNSを機能停止させてサービス
を使えなくするもののほか、偽のDNSデータを使わせて偽サイトに誘導する、
攻撃の手段として踏み台にし、他者を攻撃する、データを不正入手してスキャ
ンに利用するなど、さまざまなものがあります。

権威DNSサーバーに対するDDoS攻撃にフォーカスするとともに、攻撃対策を考
える場合、攻撃の対象と目的に応じた有効な対策を考え、実施する必要があり
ます。

▽DDoS攻撃に対する有効な対策

DDoS攻撃対策の基本的な考え方として「攻撃に耐える」と「攻撃をかわす」の
二つがあります。

「攻撃に耐える」は、処理能力やネットワーク帯域を強化したり新たな技術・
サービスを導入したりすることで、攻撃に対する耐久力を向上させるものです。
DNSにおける具体的な対策として、以下のものが挙げられます。

  ・処理能力の強化
    - 処理能力の高いサーバーの準備
    - 負荷分散装置の導入
  ・帯域の強化
    - ネットワークの帯域の増強
    - 複数のネットワーク回線の準備
  ・技術・サービスの導入
    - IP Anycast[*9]の導入
    - 外部DNSサービスの利用

[*9] IP Anycastの詳細は、JPRS用語辞典をご参照ください。
     https://jprs.jp/glossary/index.php?ID=0108

一方、「攻撃をかわす」は、攻撃を早期に検出したり攻撃トラフィックを制限・
緩和したりすることで、攻撃そのものの影響を軽減するものです。DNSにおけ
る具体的な対策として、以下のものが挙げられます。

  ・攻撃検出機構の導入・運用
    - 利用状況の監視
    - 攻撃発生の速やかな検出
    - 攻撃に対応可能な体制の確立
  ・攻撃トラフィックの制限
    - トラフィック制限の事前適用
  ・攻撃トラフィックの緩和
    - DDoS対策サービスの利用

▽JPRSの取り組み

JPRSでは登録システムとJP DNSサーバーに対し、DDoS攻撃対策を実施していま
す。

「攻撃に耐える」対策として、サーバーの増強や負荷分散装置の導入による性
能強化やネットワーク帯域の増強を継続的に実施しています。また、JP DNSに
おいて2004年からIP Anycastを運用しており、世界中の26拠点でサービスを提
供しています。

また「攻撃をかわす」対策として、早期攻撃検知機構を構築し、集中監視セン
ターにおいて、24時間365日の有人監視を実施しており、攻撃トラフィックの
制限/緩和も適宜実施しています。

■JPRSのWebサイトで公開中の情報提供資料

JPRSブースで配布した資料の一部は、JPRSのWebサイトでも公開しています。
以下のURIからぜひご覧ください。また、最新情報をソーシャルメディアの
JPRS公式アカウントより随時配信しておりますので、こちらもご確認ください。
https://jprs.jp/sns.html

  ○JPRS DNS 関連技術情報
  |https://jprs.jp/tech/

  ○ドメイン名やDNSの解説コラム「JPRS トピックス&コラム」
  |https://jprs.jp/related-info/guide/

  ○JPドメイン名レジストリレポート
  |https://jprs.jp/about/report/

  ○ドメイン名やDNSなどに関する用語辞典
  |https://jprs.jp/glossary/

  ○ポン太のネットの大冒険~楽しくわかるインターネットのしくみ~
  |https://jprs.jp/related-info/study/

  ○「co.jp」のドメイン名を会社のホームページ・メールアドレスに。
  |https://nippon-kigyo.jp/

  ○安心と信頼のJPRSサーバー証明書
  |https://jprsサーバー証明書.jp/

  ○サーバー証明書発行サービス
  |https://jprs.jp/pubcert/

  ○ドメインまるわかり.jp
  |https://ドメインまるわかり.jp/

           ◇                     ◇                     ◇
 
◎関連URI

  - Interop Tokyo 2019
    https://www.interop.jp/

━━━━━━━━━━━━━━━━━━━━━━━━━━━【FROM JPRS】━
■会議報告:https://jprs.jp/related-info/event/
■配信先メールアドレスなどの変更:https://jprs.jp/mail/henkou.html
■バックナンバー:https://jprs.jp/mail/backnumber/
■ご意見・ご要望:from@jprs.jp

当メールマガジンは、Windowsをお使いの方はMSゴシック、macOSをお使いの方
はOsaka等幅などの「等幅フォント」で最適にご覧いただけます。

当メールマガジンの全文または一部の文章をWebサイト、メーリングリスト、
ニュースグループ、他のメディアなどへ許可なく転載することを禁止します。
また、当メールマガジンには第三者のサイトへのリンクが含まれていますが、
リンク先のサイトの内容などについては、JPRSの責任の範囲外であることに
ご注意ください。
その他、ご利用に当たっての注意事項は読者登録規約にてご確認ください。
https://jprs.jp/mail/kiyaku.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
編集・発行:株式会社日本レジストリサービス(JPRS)
https://jprs.jp/
Copyright (C), 2019 Japan Registry Services Co., Ltd.