2010年7月15日、DNSルートゾーン（以下、ルートゾーンと呼ぶ）における署名が行われ、ルートサーバで署名レコードの提供が始まった[1]。ルートサーバは、.jp や .se といったccTLDや .com や .org といったgTLD、そして .arpa のようなTLDのネームサーバの情報を含むDNSルートゾーンを提供するサーバである。ルートサーバは、いわば大本のDNSサーバであり、インターネットにおけるDNSSEC導入の影響範囲は大きい。そのため、DNSSEC導入のために特別に結成された”デザインチーム”によって導入方法が慎重に検討されていた。
 　本稿では、ルートゾーンにおけるDNSSEC導入と、その重要な要素であるキーセレモニー、そしてDNSSEC運用の検討に役立つDPS（DNSSEC Practice Statement）について述べる。最後にDNSSECの運用について、情報収集や技術検証を行っている国内での活動を紹介する。

 　ルートゾーンにおけるDNSSEC導入のタイムラインを以下に示す（表 1 ）。このタイムラインはICANNとVeriSignが運営する”Root DNSSEC”[2]というWebページでまとめられているもので、DNSSECに関連した様々なできごとの中で特に重要なものが挙げられている。

 　多少の遅れはあったものの、ほぼ計画通りに導入が行われた。

 　導入にあたっては、”インクリメンタル・ロールアウト”と、ダミーの鍵を用いた”DURZ”と呼ばれる2つの工夫が行われた。インクリメンタル・ロールアウトとは、AからMまであるルートサーバで徐々にDNSSECの署名付きルートゾーンを提供し、途中で問題が起こらないかどうかをみながら進める方法である。更に、この段階ではDURZ（Deliberately Unvalidatable Root Zone）を用いDNSSEC対応のリゾルバーがルートゾーンの署名検証を行えないようにされた。DURZとは、意図的に検証できないようにした署名付きのルートゾーンのことで、リゾルバーにおける署名検証が成功したり失敗したりする要素を排除するために考案された。

. 86400 IN DNSKEY 257 3 8 AwEAAazdM++++++++++++++++THIS/IS/AN/INVALID/
                          KEY/AND/SHOU LD/NOT/BE/USED/CONTACT/ROOTSIGN
                          /AT/ICANN/DOT/ORG/FOR/MOR E/INFORMATION+++++
                          ++++++++++++++++++++++++++++++++++++++ +++++
                          ++++++++++++++++++++++++++++++++++++++++++++
                          +++++++ ++++++++++++++++++++++++++++++++++++
                          ++++++++++++++++++++ +++++++++++++++++++++++
                          +++++++++++++++++++++++++++++++++ ++++++++++
                          8=

 　一方、DURZから署名検証が可能なゾーンへの入れ替えは、DURZとデータサイズがほとんど変わらないことから、2010年7月15日、全てのルートサーバで一斉に行われた。

 　ルートゾーンにおけるDNSSEC導入の検討はICANNとVeriSignによって結成されたデザインチームによって行われた。デザインチームはルートゾーンにおけるDNSSEC運用の要件として以下を定めている[3]。

 　これらの要件を満たすように実施された、キーセレモニーとDPSについて述べる。

 　キーセレモニーとは鍵生成の手続きのことで、物理的、そして技術的に安全な鍵生成を行うための各種の工夫が行われる。ルートゾーンのKSKについては、2010年6月16日と7月12日にキーセレモニーが行われた[4]。キーセレモニーの実施にあたっては、TCR（Trusted Community Representatives）と呼ばれるメンバーが募集され、KSKの鍵生成と保管に参加した[5]。これはコミュニティに対する”Transparency”の実現を目的としている。ルートゾーンのキーセレモニーには日本からは日本レジストリサービス（以下、JPRSと呼ぶ）の民田雅人氏が参加した。キーセレモニーの様子はストリーミングで公開された。

 　DPS（DNSSEC Practice Statement）はCPS（Certification Practice Statement）[6]を元にして作られたフレームワークである。ゾーンの登録要件や設備、システムのセキュリティなどのDNSSECの運用に関して網羅的な章立てになった文書で、DNSSECの運営を行う者が作成する。DPSの作成を通じて網羅的な検討を行うことができると共に、作成されたDPSを使った業務監査を通じて運用のレベルを保つことができる。これは”Transparency”と”Audited”（業務の監査）の両方を実現するために行われた。
 　KSKに関するDPSはICANNによって作成され[7]、ZSKに関するDPSはVeriSignによって作成された[8]。

 　国内でのDNSSECの導入や運用については2009年11月に設立されたDNSSECジャパンが情報収集や技術検証の活動を行っている[9]。その一環として、7月21日、DNSSECジャパンが主催となって、東京の品川でDNSSEC 2010サマーフォーラムというイベントが開催された[10]。
 　以下、国内でのDNSSECの運用や利用にあたって情報源となるWebページのURLを示す。

 　日本のJPゾーンへの導入は2011年1月に予定されている[11]。国内の多くのドメイン名レジストラは、まだ顧客のドメイン名に対してDNSSECを扱えるようになっていないが、今後、対応が進められていくと考えられる。