Internet Week 2015 セキュリティセッション紹介 第9回「今日から始めるDNSSECバリデーション」についてJPRSの米谷嘉朗氏が語る | ScanNetSecurity
2024.03.29(金)

Internet Week 2015 セキュリティセッション紹介 第9回「今日から始めるDNSSECバリデーション」についてJPRSの米谷嘉朗氏が語る

「DNSSECを利用し、機能させるためには二つの要素が必要です。「名前を管理する人が対応すべきもの」「名前を参照する人が対応するもの」です。今回のチュートリアルは、後者の「名前を参照する人が対応するもの」にフォーカスを当てています。」

研修・セミナー・カンファレンス セミナー・イベント
11月17日から11月20日にかけて、一般社団法人日本ネットワークインフォメーションセンター(JPNIC)主催の「Internet Week 2015 ~手を取り合って、垣根を越えて。~」が、秋葉原の富士ソフトアキバプラザで開催される。

「Internet Week」は、毎年11月に、計40近くものセッションが会期中に行われる、年1度の非商用イベントだ。インターネットやその基盤技術に関するエンジニアを主な対象に、最新動向やチュートリアルがある。

- Internet Week 2015
https://internetweek.jp/
連載で、このInternet Week 2015のセッションのうち、情報セキュリティに関するセッションの見どころ、意義、背景などを、セッションコーディネーターに語ってもらう。

9回目となる今回は、11月19日午前に行われるプログラム「今日から始めるDNSSECバリデーション」について、株式会社日本レジストリサービス(JPRS)の米谷嘉朗氏に語っていただいた。

--

――まずはDNSSECが何かを教えてください。

インターネットにアクセスする際に利用するドメイン名やメールアドレスを変換するのがDNSですが、そのDNSで安全に名前解決をするために、DNSをより安全な状態にするのがDNSSECです。そのためDNSSECは、「インターネットをより安全にするための技術」と言ってよいでしょう。

DNSSECを利用し、機能させるためには二つの要素が必要です。まず一つは「名前を管理する人が対応すべきもの」で、もう一つが、「名前を参照する人が対応するもの」です。DNSSECが機能するにはこの両方の対応が必要ではあるのですが、今回のチュートリアルは、後者の「名前を参照する人が対応するもの」にフォーカスを当てています。


――DNSSECの普及率はどうなんでしょうか?

DNSSECの普及率は、日本はまだ低いですが、海外では高いところもあります。一部のccTLDにおいてドメイン登録者側の状況を見ると、とても高い署名率を誇っています。というのも、海外では大手のDNSプロバイダがDNSSEC対応を進めてきているので、そのDNSサービスを使うユーザーは、特に意識しないでもDNSSECを使い始められるのです。こうした状況は、今後どんどん広まっていくでしょう。

こういう状況の下、「ドメイン名を参照し名前を解決する側」は、受け入れの準備さえしておけば、ドメイン名を登録する側が「安全なDNS提供のためにはDNSSECも提供するよ」ということになれば、すぐに使えるようになります。そのため、そうした状況を促進したいとも考え、今回のチュートリアルを企画しました。


――なるほど、これからDNSSEC導入の機運が高まっていくし、名前を参照する側は準備だけしておけばと良いということなんですね。どういう方にプログラムを一番聞いてもらいたいと考えますか?

キャッシュDNSサーバーを運用しているISPのオペレータや、企業にDNSの設定をし運用しているSIerの方に聞いてもらいたいですね。

また、今のタイミングはDNSSECの普及率が上がってきているということだけではありません。それに加え、DNSSECに関して近い将来に起こるもう一つの大きなイベントである「ルートゾーンの鍵交換」を控えた時期でもあります。これは5年に一度くらいで高頻度ではないのですが、この鍵交換に備えておくというのは2020年頃や、2025年頃にあわてずに済むというメリットがあります。DNSSECの普及率がまだそれほど高くない今であれば、DNSSECの検証=バリデーションの準備をしておき、このタイミングで待ち構えて経験を積むのは大変ではありませんが、5年後の状況はわかりません。そのため、将来に役に立つ良いタイミングであると言えるでしょう。

つまり、今ならDNSSECで署名されているサイト数もそこまで多くなく、名前解決する方でセットをしてもCPU等の資源をそこまで使わずに運用負荷も高くないため、早めの準備で準備万端にすることができます。

DNSSECの検証を始めると、それはそれで新しい運用ですので、やはりいくつかのトラブルも発生します。しかし、これはすでに想定されているものが多いです。今回のチュートリアルではそれも解説しますので、トラブルを恐れない知識を手に入れてもらいたいと考えています。


――確かにルートゾーンの鍵交換は大きなニュースですね。Internet Weekの時期がそれを学ぶのにちょうど良い時期と言えそうでしょうか。

ルートの鍵交換について、ICANN側からの方式の説明が出る時期なので、「ルートがこうやるのだな」というホットな情報をお伝えできると思います。またこのチュートリアルの準備や実行を通じて、ICANN側の準備に足りなそうなことに気づいたら、それをICANN側にフィードバックできる時期でもあります。


――そのように考えると、ICANN側のアクションにも影響を与えられるかもしれず、今年のInternet Weekのテーマ:「手を取り合って、垣根を越えて。」 とも良くマッチしているようにも思えます。

はい、その通りだと思います。また、先ほどにも言った通り、DNSSECは二つの要素、登録する側と使う側の二つが手を取り合わないと動かないものです。手を取り合って安全なネットワークを作っていくことが重要です。

DNSSECのバリデーションは何度も経験してきたことがあるという方も、今回はルートゾーンの鍵交換が大きなイベントとして控えているので、これを一緒に乗り越えたいですね。もちろん、基本的にはルートゾーンの鍵も自動的に交換はされる仕組みはあるのですが、実運用で交換がされたことがないため、本当にきちんと動くかどうかを心配しています。やはり、知識を持っていてもらうと安全だと考えていますし、今回の鍵交換を経験した人は、この先ずっと安心してDNSSECの運用ができるようになるのではないでしょうか。


――最後に、参加者にメッセージをお願いします。

安全は黙っていて手に入るものではなく、順次対応をしていかないといけないものです。インターネットのDNSを安全にすることはインターネットの安定性にも大きく関わることであり、特にISPのキャッシュサーバでDNSSECが検証できることはすなわち、その裏のお客さまを安全にできるので効果が大きいと考えています。

また今後、大規模なISPが検証を開始したという実績が見え始めるとに、周りにも署名する人が増えるでしょう。署名する側の意識も進んでいくし、DNSSECの普及のトリガーになります。現在、DNSSECについては「署名されないから検証しない、検証されないから署名しない」という鶏と卵の状態も見られています。こうした悪循環をなくしていきたいのが、今回のチュートリアルのもう一つの狙いです。多くの皆さまの参加をお待ちしています。

●プログラム詳細

「T5 今日から始めるDNSSECバリデーション」

- 開催日時:2015年11月19日(水) 9:30~12:00
- 会場:富士ソフト アキバプラザ
- 料金:事前料金 5,500円/当日料金 8,000円
- https://internetweek.jp/program/t5/

9:30~9:35
1) オープニング
米谷 嘉朗(株式会社日本レジストリサービス(JPRS))

9:35~9:55
2) DNSSECの概要
原田 めぐみ(株式会社日本レジストリサービス)

9:55~10:35
3) 既存リゾルバをDNSSEC対応に移行する方法
末松 慶文(九州通信ネットワーク株式会社)

10:50~11:20
4) DNSSECトラブルシューティング
講演者調整中

11:20~12:00
5) Root KSK(鍵署名鍵)更新に対応する方法
石原 知洋(東京大学)

※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×