メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
プリント用ページ

ニュースレターNo.48/2011年7月発行

JPドメイン名サービスへのDNSSEC導入

はじめに ~DNSの仕組みと重要性~

DNSは、ドメイン名とIPアドレスとを対応させる仕組みとして、インターネットの基盤を構成する上で必要不可欠なシステムです。ブラウザでWebサイトを閲覧したり、メールをやりとりしたりすることができるのも、裏でこのDNSが動いているからです。

IPで接続されたネットワークという意味でのインターネットが、まだ日本には存在しなかった頃、1983年に米国でDNSが開発されました。DNSは、その当時から基本的な仕組みはそのままに、現在に至るまで四半世紀以上にわたりインターネットが拡大する中で運用され続けている、世界的な分散データベースシステムなのです。

私達がインターネットを安心して利用するためには、DNSが正常に機能していることが必要です。しかし、1990年代からDNSの応答を偽装する攻撃手法の存在が指摘され、これを防止するためのセキュリティ付加技術としてDNSSEC (Domain Name System Security Extensions)※1が開発されました。

DNSSEC導入への機運が、世界的に高まったきっかけ

インターネットが社会的に重要性を増し、それを支えるDNSにもさらなる安定性や安全性が求められるようになってきた中で、2008年にDNS応答を偽装させる効率的な攻撃手法が明らかになったことが、DNSSECの導入が世界的に進められる大きなきっかけになりました。

DNSは、ICANNによって管理されるルートゾーンを頂点として、「.jp」や「.com」などのTLD(トップレベルドメイン)、そしてさらにそれぞれ個別のSLD(セカンドレベルドメイン)、さらにそのサブドメイン……、という階層構造を成しています。DNSSECは、このルートゾーンから目的のドメイン名まで、すべての階層で導入されないとうまく機能しません。

とはいえ、DNSSECの導入は、インターネットの基盤を構成する上で欠かせない仕組みであるDNSに新たな機能を追加するものであり、「今動いているものに手を入れる」ことになるため、慎重に進めていかなければなりません。

導入にあたっては、インターネットに悪影響を与えることなく、また、多数の階層での対応が必要であることから、多くの関係者が協調して作業を行っていく必要があります。

DNSSECの導入は、インターネット全体、世界全体にとって、とても大きな出来事なのです。

.jpにDNSSECが導入されるまでの経緯

JPドメイン名の登録管理組織(レジストリ)であるJPRSでは、2009年7月にJPドメイン名サービスへのDNSSECの導入を正式に表明し※2、準備を開始しました。.jpゾーンを管理するDNSサーバであるJP DNSサーバへDNSSECを導入する際に、万が一のことがあった場合、インターネットに大きな混乱を引き起こすことになるため、事前の準備には長い時間を必要としました。

一方、ICANNもルートゾーンへのDNSSEC導入の検討を慎重に進め、ようやく2010年の7月にルートゾーンへのDNSSEC導入が行われました※3。次はいよいよTLDへのDNSSEC導入です。

JPRSでは、2010年10月に、DNSSECで用いる鍵情報を生成する.jp DNSSECキーセレモニーを実施し※4、.jpゾーンへの署名を開始しました。そして運用に支障がないことを確認した後、2010年12月にルートゾーンのDNSSECとの関連付けを行いました※5

DNSSECの導入に取り組む組織や個人のために、JPRSは、DNS運用に関わる事業者、機器メーカー、ソフトウェアベンダーなどとともに進めてきた技術検証の成果や、DNSSEC関連RFCの翻訳など、DNSSEC導入の中で得られたさまざまな成果やノウハウなどを、積極的にWebで公開しました。

さらに、DNSSECを適切かつ安定して運用していくためには、運用ポリシーや考え方、手順などを明確化しておく必要があります。これがDPS (DNSSEC Practice Statement)※6と呼ばれる文書で、JPRSでも「JPドメイン名におけるDNSSEC運用ステートメント(JP DPS)」として公開しました※7

これらの準備を進めた後、2011年1月16日にJPドメイン名サービスへのDNSSEC導入を実施しました※8。これにより、個々のJPドメイン名でDNSSEC運用を行い、その鍵情報をJP DNSサーバに登録することができるようになったのです。

写真:キーセレモニー参加者
キーセレモニーに参加された方々(JPRSのWebサイトより引用)

DNSSECをめぐる、国内外の動き

DNSSECの導入ならびに普及には関係者間の密接な連携が必要なため、国内のコミュニティとしてDNSSECジャパンが2009年11月に設立され、2011年2月現在でJPRSも含めて36団体が会員となっています。DNSSECジャパンでは、導入・運用に関する課題の整理と検討が行われ、参加者の技術力の向上、ノウハウの共有を促進するとともに、普及のためのイベント開催や外部での講演などの活動を進めています。

世界的なDNSSECの導入動向としては、原稿執筆時点(2011年2月16日)において、62のTLDがDNSSECを導入し、ルートゾーンとDNSSECの関連付けを行っています。影響が大きいところでは、国内でも多く利用されている.comが2011年3月31日にDNSSECを導入する予定となっています。(その後、予定通り.comにDNSSECが導入されたことが、レジストリである米VeriSign社から発表されました)

おわりに

DNSSECによりインターネットの安全性を向上させていくためには、DNSの管理運用に携わるすべての関係者の協力が欠かせません。また、DNSSECの普及のためには、ホスティング事業者やプロバイダー事業者の方々の、積極的な取り組みが必要です。JPRSでは今後も各方面の関係者と協力しながら、DNSSECの導入を推進していきます。

JPRS DNSSEC関連情報
http://jprs.jp/dnssec/
DNSSECジャパン
http://dnssec.jp/

(株式会社日本レジストリサービス(JPRS) システム運用部 坂口智哉)


※1 DNSSEC (Domain Name System Security Extensions)
DNSに関するセキュリティの強化を行うための拡張機能。 DNSで提供する情報に電子署名を付加し、 DNSを使って得られた情報と発信元にある情報との同一性を保証します。
※2 JPドメイン名サービスへのDNSSECの導入予定について
http://jprs.jp/info/notice/20090709-dnssec.html
※3 ルートゾーンへのDNSSEC署名の追加について
http://www.nic.ad.jp/ja/topics/2010/20100716-01.html
※4 .jp DNSSECキーセレモニーの実施について
http://jprs.jp/info/notice/20101015-keyceremony.html
※5 ルートゾーンへの.jpゾーンのDSレコード登録・公開に伴う影響について
http://jprs.jp/info/notice/20101210-ds-published.html
※6 DPS (DNSSEC Practice Statement)
DNSSECの運用者が作成する、 運用内容を明文化し情報公開するための文書です。 各章には、DNSSECにおける署名検証の考え方(DNSSEC Policy (DP))と、 これを実現するための実施要領であり文書自体の名前にもなっている、 DNSSECの運用ステートメント(DNSSEC Practice Statement (DPS))の二つが記述されます。
※7 JP DPSの公開について
http://jprs.jp/info/notice/20110114-jpdps.html
※8 JPRSがJPドメイン名サービスにDNSSECを導入
http://jprs.co.jp/press/2011/110117.html

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2019 Japan Network Information Center. All Rights Reserved.