HOME情報セキュリティ資料・報告書・出版物調査・研究報告書情報セキュリティ技術動向調査(2010 年下期)

本文を印刷する

情報セキュリティ

情報セキュリティ技術動向調査(2010 年下期)

6 DNSSEC展開の動向

木村 泰司

1. 2010年下半期の動き

  2010年度後半、ルートゾーンへのTLDのDSレコードの登録が相次いで行われた。また国内においてDNSSECの導入・運用に関するノウハウの共有の促進等を行っているDNSSECジャパンでは技術的なレポートが公開された。本稿では2010年度下半期のDNSSECの展開の動向ついて述べる。

2. ルートゾーンへのトップレベルドメインのDSレコードの登録

  DS(Delegation Signer)リソースレコード(以下、DSレコードと呼ぶ)は、子ゾーンのゾーン署名で使用される鍵(以下、ゾーン鍵と呼ぶ)のひとつのメッセージダイジェスト(ハッシュ値)が入るリソースレコードである。親ゾーンにDSレコードが登録されるとDNSSECにおける署名の連鎖ができるため、ドメイン名におけるゾーン署名を検証しやすくなる。ルートゾーンはorgやnetといったトップレベルドメイン(Top-Level Domein - TLD)の親ゾーンであるため、ルートゾーンにおけるDSレコードの登録はDNSSECの展開という意味でその意義が大きい。
  2010年7月18日に行われたルートゾーンへの署名に続き、2010年度後半には以下のトップレベルドメインのDSレコードが行われた。

 
  •   「.ORG」のDSレコード登録(2010年7月23日)
  •   「.NET」のDSレコード登録(2010年12月7日)
  •   「.ARPA」のDSレコード登録(2010年12月8日)
  •   「.JP」のDSレコード登録(2010年12月10日)

  「.ARPA」のDSレコード登録の後、ゾーン鍵が登録されていたDLV Registry [1]からDSレコードと同じ役割を持つDLVレコードが削除され、本来的なゾーン鍵の提供が行われるようになった。
  DNSSECの展開に関する情報提供を行っているDNSSEC Deployment Initiative [2]のMLにおける情報では、「.COM」のDSレコード登録は2011年3月に行われる見込みである。

3. DNSSECジャパンにおける技術情報の公開

  DNSSECジャパンは、DNSSECの導入・運用に関する課題の整理と検討を行い、参加者の技術力の向上、ノウハウの共有を促進することを目的とした会合で、ツールの提供や普及のための技術解説などの活動が行われている[3]
  DNSSECジャパンのプロトコル理解SWG(サブWG)では、DNSSEC関連のRFCの一覧と解説資料が公開された。

 

  また、技術検証WGでは技術的な調査や検証活動の成果である資料が公開された。技術検証WGのWebページのURLと掲載されている資料を以下に示す。

 
  • 技術検証WG 資料
    http://dnssec.jp/?page_id=307
    • ➢ 掲載されている資料
        ✧ DNSSECの仕組みと現状
        ✧ DNSSEC導入に当たって
        ✧ DNSSECを利用するリゾルバーのためのトラストアンカーの設定方法について
        ✧ レジストリの鍵登録インターフェースに関する調査報告
        ✧ レジストラ移転ガイドライン

  この他にもDNSSECに関わる情報が公開されている。国内におけるDNSSEC導入や運用に役立つ情報源であると言える。

4. DPSの公開状況

  DPS(DNSSEC Practice Statement)はゾーンの登録要件や設備、システムのセキュリティなどのDNSSECの運用に関して網羅的に記述する文書で、DNSSECの運用者が運用の方針や実施内容を網羅的に検討したり運用のレベルを保ったりすることに利用できる。DPSのフレームワークはIETFで提案されている[4]
  2010年度後半、ルートゾーンにDSレコードが登録されているTLDについてDPSが公開された[5]

 

  DNSSECの導入や運用にあたって、組織的また技術的に検討すべき項目やどのような運用を行えばよいかという検討のために参考になると考えられる。

5. 国内におけるDNSSECの今後

  2011年1月16日、「.JP」においてDNSSECが導入された[6]。今後、ISP事業者等におけるDNSSEC対応によって、「.JP」の多くのユーザがDNSSECを導入したドメイン名を利用できるようになる。
  一方、いくつかのTLDではDNSSECの不具合が報告されており、運用のノウハウが蓄積されるべき時期であると考えられる。DNSSECの導入や運用にあたってはDPSの記述項目にあるような事前対策、事後対策を含めて検討されることが望ましいと考えられる。

以上

参照文献

[1]

ISC's DLV Registry
  https://www.isc.org/solutions/dlv

[2]

DNSSEC Deployment Initiative
  http://dnssec-deployment.org/

[3]

「DNSSECジャパン 設立趣意書」
  http://dnssec.jp/?page_id=2

[4]

“DNSSEC Policy & Practice Statement Framework”
  http://tools.ietf.org/html/draft-ietf-dnsop-dnssec-dps-framework-03

[5]

ルートゾーンのDPSについては本タスクグループの2010年度上期の報告書を参照のこと。
  http://www.ipa.go.jp/security/fy20/reports/tech1-tg/2_09.html

[6]

「JPドメイン名サービスへのDNSSECの導入予定について」
  http://jprs.jp/info/notice/20090709-dnssec.html

 

目次へ 次へ