メインコンテンツへスキップ
トップページ > JPNICライブラリ > ニュースレター > バックナンバーオンライン版 > No.49
現在、マイクロソフト セキュリティ情報 MS10-090のパッチを適用したInternet Explorer 8をお使いの方は、 JPNIC Webサイトの内容が印刷できない状態になっています。 印刷をする場合には、 Internet Explorer 8以外のブラウザを利用してください。
この不具合の詳細と、その対処方法については、 マイクロソフトのWebサイトに掲載されている以下の技術情報をご覧いただくか、 マイクロソフトのサポートセンターにお問い合わせください。
 マイクロソフトの技術情報

ニュースレターNo.49/2011年11月発行

ルートゾーンへのDNSSEC導入から1年が経過して
〜講演会「組織におけるDNSSECの姿」の報告〜

DNSSECがDNSルートゾーンに導入されてから1年が経ちました※1。TLDでは、この1年で.ORGや.NET、そして.JPで導入され、私達がDNSSECを利用する環境が整いつつあります。JPNICでは、DNSをインターネットの基盤技術の一つと考え、サーバなどのオペレーターや技術者に役立つことをめざして、他の組織と協力しつつDNSSECに関する調査活動を行っています。

本稿では、2011年7月12日(火)にJPNIC会議室にて開催した講演会「組織におけるDNSSECの姿」※2について報告します。

講演会会場の様子
● 講演会会場の様子

DNSSECを取り巻く課題

DNSSECは、DNSのゾーン情報に公開鍵暗号を用いたデジタル署名を施して、DNSを通じて取得した情報の正しさを確認できるようにする技術です。DNSを使ってDNSSECが導入されたドメイン名を検索すると、RRSIGと呼ばれる電子署名のリソースレコードが得られます。この電子署名が有効かどうかをチェックすることで、DNSで得られたリソースレコードが間違いないかどうかを確認できるのがDNSSECの特徴です。しかし、ご存知の通りDNSは、DNSルートゾーンを頂点としたツリー構造をしています。DNSルートゾーンから、目的のドメイン名にいたるまでの各々のゾーンで、DNSSECが十分に安全に運用されること、そして、それが私達にも分かるようになることが、DNSSECが真に役立つための重要な課題です。

DNSSECの安全性を知る
〜DPSにフォーカスをあてた講演会を開いた狙い〜

現在のDNSSECは、安全に運用されていることがユーザーに分かりにくいシステムです。その安全性を見えやすくするために、PKI技術の運用に使われているCPS(Certifi cation Practice Statement)の仕組みがDNSSECに応用されており、このことについてDPS(DNSSECPractice Statement)※3と呼ばれるドキュメントで規定されています。JPドメイン名のDPSは、2011年1月に株式会社日本レジストリサービス(以下、JPRS)によって公開されています※4

DPSは、DNSSECに関わる業務やシステムの運用において実践する内容を説明した文書です。必要に応じて、DPSに書かれた内容と実際の業務が合っているかどうかを確認する“業務監査”ができるようにもなっています。つまり、DPSは各ゾーンでDNSSECがどのように運用されているのかをうかがい知ることのできる文書であると言えます。一方、私達が組織的にDNSSECを運用するときにはDPSに沿って検討することで、その運用体制の規模やセキュリティの度合いを測る材料として利用できます。

講演会では、このDPSの特徴に着目し、DNSSECの運用に関する調査を行ったり、実際にDPSの記述をされたりした方を講師としてお招きしました。

講演会の様子

講演会は、ご参加いただけない方にも様子をご覧いただけるように、Ustreamを使った中継を行うとともに、Twitterでも簡単に様子をお伝えするようにいたしました。当日は定員を超える参加希望をいただきましたが、会場の都合により24名の方にご参加いただきました。Ustream のユニーク接続数は185でした。次に、講演内容をご紹介します。

ICANN大久保智史氏の講演

大久保氏はICANNにおけるDNSSECのデザインチームへの参画やDPSの執筆といった、ICANNにおける活動のほか、DPSの意義などをお話しくださいました。DNSルートゾーンのセキュリティは、米国商務省からさまざまな要件が提示されており、それに応える形でDPSが策定されました。さらに、運用に関わる米国のVeriSign社とすり合わせる形で、運用内容が決められました。

ICANN におけるDNSSEC 関連の活動を紹介する大久保智史氏
● ICANNにおけるDNSSEC関連の活動を紹介する大久保智史氏

DNSルートゾーンのDNSSECは、Webブラウザなどにインストールされている、VeriSign社のルート認証局と同じくらい厳しいレベルのセキュリティで運用されています。DNSルートゾーンのDPSについてはICANN(IANA)のWebサイト※5をご覧ください。

ICANN の大久保氏にはルートゾーンのトラストアンカーデータに署名したPGP鍵のフィンガープリントをお持ちいただきました
● ICANNの大久保氏にはルートゾーンのトラストアンカーデータに署名したPGP鍵のフィンガープリントをお持ちいただきました

JPRS森健太郎氏の講演

森氏は、JPゾーンにおけるDPSの作成を担当され、JPRS社内におけるDNSSEC運用に関わる文書の体系や既存のサービスとの兼ね合いなど、さまざまな検討を取りまとめられた方です。森氏は、DPSという文書の作成を通じて、組織におけるDNSSEC運用を多面的に検討することができたと述べられました。DPSにおけるユーザーの利用規程などに関わる部分は既存の文書を参照することで、同じ内容の文書を二重に作成することを避けるとともに、文書の間で齟齬のない形にするといった工夫をされています。

関連部署がDPSを通じた共通の理解を持って運用にあたっていることは、運用上のセキュリティの一つのあるべき姿と言えると思います。JPドメイン名のDPSについてはJPRSのWebサイト※4をご覧ください。

JPRS の森健太郎氏(右)とDNSSECジャパンの豊野剛氏(左)
● JPRSの森健太郎氏(右)とDNSSECジャパンの豊野剛氏(左)

DNSSECジャパン豊野剛氏の講演

豊野氏(インターネットマルチフィード株式会社)は、DNSSECの導入や運用の課題整理や検討を行っている、DNSSECジャパンの副会長をされている方です。DNSSECジャパンでは、DNSSECに関わるステークホルダーが多様であることを踏まえて、DNSSECの運用の知識を正しく適切に伝えることを目的として活動をされています。特に2010年度に活発に活動され、DNSSEC導入に当たって検討すべき項目、DNSSEC関連のツール情報、実証実験の結果などを文書化し公開しています。

今後、自社のドメイン名やサービスにDNSSECを導入することになった場合、DNSSECジャパンの公開資料にあるような、運用のための検討を行う必要があるように思われます。DNSSECジャパンの概要と公開されている資料はDNSSECジャパンのWebサイト※6からご覧ください。

(JPNIC 技術部/インターネット推進部 木村泰司)

※1
Status Update, 2010-07-16, ICANN, VeriSign
http://www.root-dnssec.org/2010/07/16/status-update-2010-07-16/
※2
講演会のご案内「組織におけるDNSSECの姿 〜 ICANN大久保智史氏を迎えて〜」
http://www.nic.ad.jp/ja/topics/2011/20110705-01.html
※3
DPS(DNSSEC Practice Statement)
DNSSECの運用者が作成する、DNSSECの運用内容を明文化し情報公開するための文書です。
※4
JPドメイン名におけるDNSSEC運用ステートメント(JP DPS), JPRS
https://jprs.jp/doc/dnssec/jp-dps-jpn.html
※5
DNSSEC Practice Statement for the Root Zone KSK Operator
https://www.iana.org/dnssec/icann-dps.txt
※6
DNSSECジャパン
http://dnssec.jp/
このページを評価してください
このWebページは役に立ちましたか?
役に立った。
役に立たなかった。
どちらとも言えない。

ページの改良点等がございましたら自由にご記入ください。
  • このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、 お問い合わせ先 をご利用ください。
  • 文中でのHTMLタグ使用はご遠慮ください。
ページトップへ