HOME情報セキュリティ資料・報告書・出版物調査・研究報告書情報セキュリティ技術動向調査(2009 年上期)

本文を印刷する

情報セキュリティ

情報セキュリティ技術動向調査(2009 年上期)

4 DNSSECの普及に関する動向

木村 泰司

1 TLDにおける導入

  2009年2月、米国の政府系のドメイン名である.govのネームサーバでDNSSECの署名データの提供が開始された。また以前より準備が行われていた.orgは2009年7月に提供が開始された。ccTLDの導入状況は、本タスクグループの2008年度の報告書にまとめられており[1]、10ヶ国は超えないものの徐々に導入が進んでいる。国内のccTLDについては、JPRS(Japan Registry Services)が2010年中を目処に導入することを発表した[2]
  2008年下期の報告書に述べられているように、DNSSECには利用したときに得られるメリットが明確でないという根本的な課題がある。一方、仮にメリットが明確であったとしても、その適切な配備のためにはいくつかの課題がある。例えば、DNSサーバの管理者の間で正確に鍵の受け渡しを行うにはどのようにすればよいのか、具体的にユーザにDNSSECのメリットをどう享受させるか、といった課題である。本稿では、これらの課題の一つである「トラストアンカー」について注目し、2009年2月に提供が開始されたITAR(Interim Trust Anchor Repository)について述べる。

2 Interim Trust Anchor Repository (ITAR)

  ITARは、2009年2月、IANA(Internet Assigned Numbers Authority)が”ベータサービス”として開始したもので、DNSSECの署名検証に使われるトラストアンカーの鍵をオンラインで提供するサービスである(図 1)。

図 1 Interim Trust Anchor Repository (ITAR)

  トラストアンカーとは、署名データの検証(以下、署名検証と呼ぶ)のために使われる鍵(KSK - Key Signing Key)のデータで、DNSSECを使った署名の連鎖の頂点に位置する。DNSの名前解決を行うリゾルバが複数の階層で委譲されたゾーンの署名検証を行う場合、署名の連鎖の先にトラストアンカーがあれば、一連の署名データが有効であると判断できる。
  ルートゾーンの署名データが提供されるまでの間、トップレベルドメイン(以下、TLDと呼ぶ)の鍵の提供を行うことで、インターネットに接続したリゾルバが、DNSSECが導入されたTLDの署名検証を行えるようにすることを目的としている。トラストアンカーの提供はWebページ(HTTP)の他にftpやrsyncでの提供も行われている。またBINDやNominum CNS、Unboundといったネームサーバの設定のために、鍵データの変換ツールが提供されている。鍵データの正当性は、ICANNのWebページに掲載されたPGPの電子署名が使われ、利用者が各自で確認するとされている。なお、国際化ドメイン名の署名データも提供されており、日本語のTLDは「.テスト」である。
  IANAは、ITARをルートゾーンの署名データが提供される前の、テストバージョンとして位置づけている一方、最初にccTLDの署名データを提供した.seをはじめ[3]、.govや.orgの鍵データの提供にも使われている。

3 逆引きのゾーンにおける導入

  逆引きのゾーンにおけるDNSSECの署名データの提供は、いくつかのRIR(Regional Internet Registry)によって既に始められている。北米地域のRIRであるARINは、2009年7月2日、IPv4の/8の逆引きゾーンに対する署名データの提供を開始した。署名されたゾーンのリストと、署名検証をするための鍵データはARINのWebページで提供されている[4]。ARINは、2009年6月から2010年前半を目処にした3つの導入フェーズを発表しており、逆引きゾーンに対する署名データの提供はフェーズ2にあたる[5]。ヨーロッパ地域および西アジア地域のRIRであるRIPE NCCも、すでに2005年から提供を開始している[7]。署名検証のための鍵データは、RIPE NCCのWebページで行われている[8]。なお、RIPE NCCのWebページから参照された「DNSSEC HOWTO」は、IETF DNSEXT WGの前チェアであるOlaf Kolkman氏によって書かれたもので、再署名やZSKの切り替えなどの運用面の情報が盛り込まれ、内容が充実している。
  アジア太平洋地域のAPNICは、現在、提供を検討している段階である。

4 考察

  2009年度前半は、TLDと逆引きゾーンにおける署名データの提供が更に進んだ。DNSSECは、トラストアンカーの提供方法や、ネームサーバ管理者の間での登録の確実性によって、その信頼性が左右される技術である。トラストアンカーの提供は、TLDやIPアドレスの管理を行う組織によって行われる必要があるため、技術者をはじめ、様々な人を交えた議論と判断が行われて始めて実現する。技術者は、確実な技術を発展させることに加え、わかりやすく適切にコミュニケーションを図る能力が求められているように思われる。
  2009年6月にICANN CEO兼理事長に着任したRod Beckstorm氏は、就任の挨拶の中で、同氏が考えるインターネットの発展のステップとして、IDN、DNSSEC、新gTLDの三つを挙げている[9]。インターネットは様々な組織にとってのネットワーク基盤であり、セキュリティがその発展の柱のひとつに入っていることは意義深い。
  2009年7月26日からストックホルムで開催された第75回IETF期間中、ISOC主催のパネルディスカッション”Securing theDNS”が開かれた[10]。この中でVerisign社のMatt Larson氏は、ルートゾーンへのDNSSECの導入を2009年末までに行うべく活動行うことを発表した。.netは2010年末、.comは2011年初頭にと発表している。様々な導入の課題はあるものの、今後、国際的なDNSSECの導入が進められていくと考えられる。

以上

参考文献

[1]

“2 DNSSEC技術動向”, 情報処理推進機構,
http://www.ipa.go.jp/security/fy20/reports/tech1-tg/2_02.html

[2]

“JPドメイン名サービスへのDNSSECの導入予定について”, JPRS,
http://jprs.jp/info/notice/20090709-dnssec.html

[3]

“.SE: DNSSEC-nycklar publiceras via ITAR,”
https://www.iis.se/pressmeddelanden/ses-dnssec-nycklar-publiceras-via-itar-2

[4]

“DNSSEC Trust Anchors from ARIN”, ARIN,
https://www.arin.net/resources/dnssec/trust_anchors.html

[5]

“ARIN DNSSEC Deployment Plan”, ARIN,
https://www.arin.net/resources/dnssec/

[6]

“DNSSEC Deployment at the RIPE NCC”, RIPE NCC,
http://www.docstoc.com/docs/110603422/RIPE-NCCs-DNSSEC-Deployment

[7]

“DNSSEC Keys”, RIPE NCC,
http://www.ripe.net/data-tools/dns/dnssec/dnssec-keys

[8]

“DNSSEC HOWTO”, NLnetLabs,
http://www.nlnetlabs.nl/publications/dnssec_howto/index.html

[9]

“Message from the CEO”, ICANN,
http://www.icann.org/en/ceo/ceo-message-21jul09-en.htm

[10]

“Securing the DNS”, ISOC,
http://www.isoc.org/isoc/conferences/dnspanel/

 

目次へ 次へ