ccTLD向けDNS運用技術／ソリューション展開の動向と今後の展望

2011年3月に米国サンフランシスコで開催された第40回ICANN Meetingにおいて、ICANN ccNSO（以下、ccNSO）とDNS-OARCによる共同ワークショップが開催されました。今回のFROM JPRSでは、共同ワークショップにおいて報告・議論された話題の中から、ccTLDを主なターゲットとしたDNS運用技術／ソリューション展開の動向と、今後の展望についてお伝えします。

ccNSOは、ICANN内に組織された三つの支持組織（*1）のうちの一つであり、ccTLD間における共通のポリシーや合意を形成し、ccTLDの立場を代表する形でICANN理事会に対し勧告を実施する役割を担っています。

 

ccNSOには数多くのccTLDが対等の立場で参加していることから、単にポリシーの策定や合意の形成の場のみにとどまらず、ccTLDにおける共同体（コミュニティ）の役割も果たしています。ccNSOではその一環として、ccTLDが興味を持つ技術的話題・課題についての情報交換や議論などを目的とした「ccNSO Tech Day」を、ICANN Meetingの場で定期的に開催しています。

一方、DNS-OARCはDNSの運用・分析・調査研究などを通じ、DNSをより安全で高品質なものとすることをその目的としています。DNS-OARCではそのための場として、DNS運用者や研究者間における情報交換や議論を目的とした「OARC Workshop」を定期的に開催しており、DNS運用者や研究者の活動を支援しています。

今回の共同ワークショップは、この「ccNSO Tech Day」と「OARC Workshop」を統合する形で開催されました。このような形でccNSOとDNS-OARCがワークショップを共催するのは、今回が初となります。

ccNSOとDNS-OARCの邂逅（かいこう）が意味するもの

権威DNSサーバー、特にルートやTLDなどの重要なゾーンの権威DNSサーバーを安定運用するためには、IPエニーキャストやDNSSEC、国際化ドメイン名などといったDNS関連技術に関するノウハウの蓄積、DNSサービスの安定運用に必要なネットワークやサーバーなどといった資源の確保の2点が、特に重要な事項となります。

特に、ccTLDはgTLDに比べ運用規模が小さいものが多く、DNSや登録管理システムの安定運用に必要なノウハウやネットワーク資源、サーバー資源などをどのように確保するのかが、ccTLD間における共通課題の一つとなってきています。

このような状況の中、ccNSOとDNS-OARCが今回の共同ワークショップを開催した背景として、

• ccNSOの側から見た場合、ccTLDの円滑な管理運用を実現するための重要な情報源の一つとして、DNS-OARCが有用であること
• DNS-OARCの側から見た場合、ccTLDのDNSの管理運用により得られた知見が、DNSの安定運用や分析、調査研究をする上で有用であること

という、いわば両者の利害関係が一致したことが挙げられます。

このような背景から、今回の共同ワークショップではccTLDをターゲットとした権威DNSサーバーや登録管理システムの運用技術／ソリューションの紹介・展開に関する発表が数多く行われました。その中から特に興味深かったものについて、その内容を報告します。

ICANNとPCHが共同でccTLD向けDNSSEC署名システムを無償提供

ICANNとPCH（*2）がccTLD向けに共同で提供するDNSSEC署名システム「Shared ccTLD DNSSEC Signing Platform」サービスについて、その目的と概要が発表されました。

本サービスは、ICANNとPCHがDNSSEC署名のためのプラットフォームと権威DNSサーバーを提供し、それぞれのccTLDが管理する権威DNSサーバーからのDNSデータの受け取り、DNSSEC署名、インターネットへの公開を一括して行うというものです。署名済みのDNSデータはPCHが保有するIPエニーキャストを用いた広域プラットフォーム上で公開されます。

ICANNでは本サービスの目的をDNSSECの普及促進、PCHではインターネット基盤の安定とccTLDへの運用ノウハウの移転による自立運営の促進と位置付けており、ccTLDを対象に無償で提供されます。

 

ccTLD向け登録管理システム～CoCCAtoolsとFRED

ccTLD向けの登録管理システムとして開発が進められている「CoCCAtools」と「FRED」について、それぞれの開発者から紹介されました。これらの登録管理システムはオープンソースで開発が進められており、無償で使用できます。

CoCCAtoolsはニュージーランドの非営利法人であるCouncil of Country Code Administrators Incorporated（以下CoCCA）が開発しており、CoCCAが開発した登録管理システム（CoCCA OpenReg及びCoCCAtools）は.bw（ボツワナ）、.cx（クリスマス島）、.gy（ガイアナ）、.zm（ザンビア）などのccTLDで採用されています。

FREDはチェコのccTLDレジストリであるCZ.NICが開発しており、その名前は「Free Registry for ENUM and Domains」に由来しています。FREDは開発元である.cz（チェコ）を始め、.ao（アンゴラ）、.cr（コスタリカ）、.tz（タンザニア）などのccTLDで採用されています。

ISCではBINDの開発やルートサーバーの一つであるF-rootサーバーの運用以外に、インターネットの基盤技術に関連するさまざまなソリューションサービスを運営・提供しています。ここではそれらのサービスのうち、SNS@ISCとSIEについて紹介します。

広域DNSサービス～SNS@ISC

SNS@ISCはISCが提供する広域DNSサービスで、ccTLDを含む顧客からDNSデータを受け取り、IPエニーキャストを用いたサーバークラスターを用いてインターネットで公開します（*5）（*6）。現在、ISCでは60以上のccTLDのセカンダリサーバーを、SNS@ISCで公開しています。

 

PayPalは2011年中にDNSSECに全面対応予定、SNS@ISCを使用

今回の共同ワークショップではインターネット決済サービス大手PayPalの担当者から、2011年にpaypal.comを含む自身のドメイン名をDNSSECに全面対応させる旨の発表がありました。PayPalでは2010年にSNS@ISCを導入しており、DNSSEC対応に当たり、SNS@ISCが提供するサービスを使用する予定とのことです。

セキュリティサービス～SIE

SIEはISCが提供するセキュリティサービスで、DNS問い合わせデータを含むさまざまなセキュリティ情報をメンバー間で共有するためのプラットフォームを提供します（*7）。

 

今回の共同ワークショップではISCの担当者から、2008年に出現し、今もなお多くのコンピューターが感染しているワームであるConfickerを例に、SIEの活用事例についての発表がありました。発表ではConfickerの脅威はいまだ収まっていないこと、ConfickerはDNSキャッシュデータの改ざんや特定のドメイン名に対するDNS問い合わせのブロック、攻撃者が登録したドメイン名を経由した活動などを行うことから、ccTLD／gTLDのDNS運用者の協力が有効な対策の一つであり、そのためのプラットフォームとしてSIEの活用が有効であることが報告されました。

ccTLDは250以上とgTLDに比べ数多く、かつ今後のIDN ccTLDの導入と普及により、更なる数（市場規模）の増加が見込まれています。

また、ccTLDはその規模や運用形態、登録対象などがそれぞれのccTLDごとに異なっており、それぞれのレジストリごとに、さまざまな運用ポリシーの適用が必要になります。これは、それらのポリシーを実現するための運用の枠組みの構築や、実装するための登録管理システムの構築が必要になることを意味しています。

このような状況の中、基盤となるDNSサービスの安定運用に必要な関連技術のノウハウの蓄積と、必要な資源の確保の2点がccTLDにとってますます重要な事項となっており、特に、これからインターネットの普及を図っていく発展途上国のccTLDを中心に、運用技術やソリューションサービスに対する需要は、今後ますます高まっていくものと考えられます。

ccTLDコミュニティとしての、ccNSOの今後の動向に要注目です。

本会議報告は、JPRSのメールマガジン「FROM JPRS」の増刊号として発行した情報に写真などを交えてWebページ化したものです。
「FROM JPRS」にご登録いただいた皆さまには、いち早く情報をお届けしております。ぜひご登録ください。