メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です
文字サイズ:

ニュースレターNo.46/2010年11月発行

DNSSEC 2010 サマーフォーラムレポート(2010.7.21)

はじめに

地図:開催地

2010年7月21日(水)に、DNSSECジャパンの主催によるDNSSEC 2010 サマーフォーラムが、東京・品川イーストワンタワーにて開催されました。このフォーラムは、DNSSECジャパンの活動紹介とDNSSECに関する最新情報の共有を目的としたもので、当日は130名を超える参加者が集まり大変盛況なイベントとなりました。当日のプログラムは、前半がDNSSECジャパンの紹介、後半がDNSSECに関する動向報告という大きく二つに分かれた構成でした。

筆者は普段、JPNICにおいてドメイン名全般に関する業務を担当し、その一環で各TLDにおけるポリシー動向や登録数、国際化ドメイン名などへの対応状況なども調査しています。このような背景からプログラムの後半部分で、各ccTLDとgTLDにおけるDNSSEC導入状況について、ご報告させていただくことになりました。本稿では発表者としての立場と、DNSSECに興味を持つ一参加者としての両方の立場で、プログラムの後半部分を中心に今回のサマーフォーラムをレポートさせていただきます。

DNSSECジャパンの紹介と活動報告について

最初に、株式会社日本レジストリサービス(JPRS)の坂口智哉氏よりDNSSECそのものについての解説が行われた後、DNSSECジャパン会長でもある日本DNSオペレーターズグループ代表幹事、日本インターネットエクスチェンジ株式会社代表取締役社長の石田慶樹氏による、DNSSECジャパンの紹介がありました。組織体制や活動内容、今後の予定などが報告された後、公募によって決定したDNSSECジャパンのロゴが紹介され、ロゴ制作者の表彰が行われました。このロゴはDNSSECジャパンのWebサイト(http://dnssec.jp/)で見ることができます。

続いて、プロトコル理解サブワーキンググループ(SWG)、運用技術SWG、技術検証ワーキンググループ(WG)の活動報告が、それぞれ株式会社インターネット総合研究所の伊藤高一氏、NRIセキュアテクノロジーズ株式会社の中島智広氏、インターネットマルチフィード株式会社の豊野剛氏より行われました。詳細についてはここでは割愛しますが、DNSSECジャパンのWebサイトにて当日の資料が公開されていますので※1、興味のある方はぜひご参照ください。

各ccTLDおよびgTLDにおけるDNSSEC導入状況について

筆者より、「各国ccTLD、gTLDの状況について」と題して、各TLDにおけるDNSSECの導入状況についてご報告しました。2010年7月時点で、gTLDでは約半数のTLDが対応済みもしくは対応予定となっています。一方ccTLDでは、割合だけで見れば全251TLDのうち約15%程度だけが対応済みまたは対応予定となっていますが、登録数上位20TLDに限ればその数字は75%となり、かなり対応が進んでいる状況です。gTLD、ccTLD両者とも、登録数が数万件から数十万件程度といった小・中規模のTLDだけでなく、登録数が100万件を超えるような大規模なTLDでもDNSSECが導入されており、2010年から2011年にかけて、gTLDでは.comや.net、ccTLDでは.de(ドイツ)や.uk(イギリス)、.cn(中国)などといった、登録数上位を占めるTLDがDNSSECの導入を予定しています。

ただし、ドメイン名の登録者がDNSSECを利用するためには、TLDを管理するレジストリだけでなく、登録を受け付けるレジストラなどもDNSSECに対応する必要があり、レジストリが対応したからといって、すぐにすべての登録者がDNSSECを使えるようになるわけではありません。とはいえ、多数のTLDがDNSSECへの対応を表明しており、2010年7月のルートゾーンへの署名追加を契機に、各TLDにおける対応は今後より一層進むものと思われます。

なお、各TLDにおける具体的な対応状況や導入スケジュール等については、公開されている当日の発表資料※1をご覧ください。

.jpへのDNSSEC導入スケジュールについて

JPRSの米谷嘉朗氏からは、.jpへのDNSSEC導入に関するスケジュールの報告が行われました。これまでは2010年中の導入予定とだけアナウンスされていましたが、この日の発表ではこれまでよりも詳細なスケジュール※2が明らかになりました。2010年7月時点の構想では、2010年10月にJPゾーンの署名を開始、2011年1月からDS登録受け付けおよびJPDNSへの反映を開始する予定とのことです。なお、10月のJPゾーン署名にあたっては、署名の2ヶ月程度前に署名パラメーターの公開を行い、署名から1ヶ月程度後にルートゾーンへDS登録をする予定とのことです。

画面:中継の様子
当日はUstreamでのストリーミング配信も行われました

また、米谷氏からは、.jpにおけるDNSSEC導入に関する技術検証について、6段階に分けたうち、2010年7月時点では4段階目まで進んでいるという報告と、導入時の各マイルストーンごとに、それぞれどのような影響があり、キャッシュDNSサーバなどの挙動がどう変化するのか、図を交えて詳細な説明が行われました。

ルートゾーンのDNSSEC署名の状況について

慶應義塾大学/WIDEプロジェクトの加藤朗氏とJPRSの民田雅人氏からは、ルートゾーンのDNSSEC署名に関する報告が行われました。加藤氏からは、ルートゾーンへのDNSSEC導入についてこれまでの経過が説明された後、ルートゾーンへの署名完了に関するアナウンスが出された2010年7月16日早朝(日本時間)以降の、ルートサーバのトラフィックが報告されました。加藤氏によると、今のところ、ルートゾーンへのDNSSEC導入に伴う顕著なトラフィック増加は認められないとのことでした。

続いて、民田氏からは「rootゾーンのKSK管理」と題して、ICANNによるルートゾーンのKSK(Key Signing Key)※3管理に関する詳細について、ICANN KSK Ceremony 2※4への参加記を中心に説明が行われました。ドメイン名空間のツリー構造において最上位に位置する、ルートゾーンのZSKに署名をする際に使われるKSKは、DNSSECの仕組みにおいて大変重要な役割を占めるもので、民田氏は世界中で21名いるTCR(Trusted Community Representatives;「信頼されたコミュニティの代表者の意」)の一人として、ルートゾーンのKSK管理に関わっています※5。TCRから直接話を聞く機会はやはり珍しいのか、質疑応答の時間には各参加者から興味津々の様子で多くの質問が行われていました。

KSKやZSKといったDNSSECの仕組みに関しては、JPNICニュースレター43号の「インターネット10分講座」で詳しく解説していますので、こちらを併せてご覧ください。

□JPNIC Newsletter No.43「インターネット10分講座:DNSSEC」
https://www.nic.ad.jp/ja/newsletter/No43/0800.html

DNSSECにおける鍵管理ポリシー

最後に、Neustar社のEdward Lewis氏より、「DNSSEC Key Management Design」と題して、DNSSECにおける鍵管理ポリシーに関する発表が行われました。当日は英語でのプレゼンテーションということで、JPNICの木村泰司が逐次通訳を行いました。Lewis氏は時折日本語の単語を使ったジョークを交えるなど軽妙な語り口で、会場を大きく盛り上げていました。

Neustar社は、登録数200万件を超えるgTLDである.bizと同時に、約170万件の登録がある米国のccTLD、.usのレジストリ業務も行っています。このような大規模TLDにおいて、DNSSECを実際に運用しているNeustar社からの報告はとても説得力のあるもので、多くの参加者の参考になったのではないかと思います。

(JPNIC インターネット推進部 是枝祐)


※1 DNSSECジャパン「DNSSEC 2010 サマーフォーラム資料」
http://dnssec.jp/?page_id=173
※2 JPRSが2011年1月に、JPドメイン名サービスにDNSSECを導入
http://jprs.co.jp/press/2010/100721.html
※3 KSK(Key Signing Key)
日本語で「鍵署名鍵」と呼ばれるもので、各ゾーンに署名する際に用いられるZSK(Zone Signing Key;ゾーン署名鍵)に署名される際に使われる鍵です。
※4 ICANN KSK Ceremony
KSKの秘密鍵と公開鍵を生成するプロセスで2010年6月16日と7月12日の2回に分けてキーセレモニーが行われました。
※5 JPRSの民田雅人がICANNのルートゾーンDNSSEC運用のTCRに選出
http://jprs.co.jp/press/2010/100617.html

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。