===================================
__
/P▲ ◆ JPNIC News & Views vol.768【臨時号】2010.8.13 ◆
_/NIC
===================================
---------- PR --------------------------------------------------------
●○●○━━━━━━━━━━━━━━━━━━━━━━株式会社SRA━━
○●○ 低価格なのに大容量のメールアーカイブができる!
●○ しかも高速全文検索エンジン標準搭載「MailDepot」(メール・デポ)
○ 詳しくはこちら ⇒ http://www.sra.co.jp/maildepot/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
----------------------------------------------------------------------
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.768 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
DNSSECジャパンの主催で、2010年7月21日に東京の品川イーストワンタワーに
て「DNSSEC 2010 サマーフォーラム」が開催されました。本号では、そのレ
ポートをお届けします。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ DNSSEC 2010 サマーフォーラムレポート
JPNIC インターネット推進部 是枝祐
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ はじめに
2010年7月21日(水)に、DNSSECジャパンの主催によるDNSSEC 2010 サマー
フォーラムが、東京・品川イーストワンタワーにて開催されました。この
フォーラムは、DNSSECジャパンの活動紹介とDNSSECに関する最新情報の共有
を目的としたもので、当日は130名を超える参加者が集まり大変盛況なイベン
トとなりました。フォーラムの概要は以下の通りです。
開催日時 :2010年7月21日(水) 14:00 ~ 17:30
開催場所 :品川イーストワンタワー大会議室(東京、品川)
主催 :DNSSECジャパン(DNSSEC.jp)
協賛 :日本インターネットエクスチェンジ株式会社
株式会社日本レジストリサービス
「DNSSEC.jp イベント開催のご案内」
http://dnssec.jp/?p=64
当日のプログラムは、前半がDNSSECジャパンの紹介、後半がDNSSECに関する
動向報告という大きく二つに分かれた構成でした。
筆者は普段、JPNICにおいてドメイン名全般に関する業務を担当しています。
その一環で、各TLDにおけるポリシーなどの動向、国際化ドメイン名などへの
対応状況、ドメイン名の登録数なども調査しています。このような背景から、
DNSSECジャパンより今回のサマーフォーラムの後半部分で、各ccTLDとgTLDに
おけるDNSSEC導入状況について、ご報告させていただくことになりました。
本稿では発表者としての立場と、DNSSECに興味を持つ一参加者としての両方
の立場で、プログラムの後半部分を中心に今回のサマーフォーラムをレポー
トさせていただきます。
◆ DNSSECジャパンの紹介と活動報告について
最初に、株式会社日本レジストリサービス(JPRS)の坂口智哉氏よりDNSSECそ
のものについての解説が行われた後、DNSSECジャパン会長でもある日本DNSオ
ペレーターズグループ代表幹事、日本インターネットエクスチェンジ株式会
社代表取締役社長の石田慶樹氏による、DNSSECジャパンの紹介がありました。
組織体制や活動内容、今後の予定などが報告された後、公募によって決定し
たDNSSECジャパンのロゴが紹介され、ロゴ制作者の表彰が行われました。こ
のロゴはDNSSECジャパンのWebサイト(http://dnssec.jp/)で見ることができ
ます。
また、DNSSECジャパンにはJPNICも会員として参加しており、概要の紹介を
vol.748で行っていますので(*1)、こちらも併せてご参照ください。
(*1) http://www.nic.ad.jp/ja/mailmagazine/backnumber/2010/vol748.html
続いて、プロトコル理解サブワーキンググループ(SWG)、運用技術SWG、技術
検証ワーキンググループ(WG)の活動報告が、それぞれ株式会社インターネッ
ト総合研究所の伊藤高一氏、NRIセキュアテクノロジーズ株式会社の中島智広
氏、インターネットマルチフィード株式会社の豊野剛氏より行われました。
詳細についてはここでは割愛しますが、DNSSECジャパンのWebサイトにて当日
の資料が公開されていますので(*2)、興味のある方はぜひご参照ください。
各報告を聞いていると、「DNSSECの導入」と一口に言っても、実際にユーザー
が利用できるようにするためには、DNSサーバを対応させるだけではなく、鍵
登録用インタフェースの準備や登録・削除の手順、レジストラ変更時の対応
方法など、検討すべきさまざまな項目があることがよくわかります。また、
DNSサーバへのクエリを転送もしくはキャッシュするような機器などがDNS
サーバとユーザーとの間にあると、それらについてもやはり検証が必要にな
るらしく、一緒に検証を行っていただける方々を募集しているとのことでし
た。
(*2) http://dnssec.jp/?page_id=173
◆ 各ccTLDおよびgTLDにおけるDNSSEC導入状況について
筆者より、「各国ccTLD、gTLDの状況について」と題して、各TLDにおける
DNSSECの導入状況についてご報告しました。各TLDのWebサイトにおける公式
アナウンス等を参考に調査を行った結果は以下の通りです。(2010年7月時点)
[gTLD]
DNSSECに対応済み 5TLD/20TLD
対応予定 5TLD/20TLD
[ccTLD]
DNSSECに対応済み 21TLD/251TLD
対応予定 19TLD/251TLD
約半数が対応済みもしくは対応予定となっているgTLDに比べ、ccTLDの対応が
進んでいないような印象を受けますが、登録数上位20ccTLDに限って見れば、
15TLDが導入済みもしくは導入予定であり、gTLDよりもむしろ対応が進んでい
ると言えるかもしれません。
また、登録数が数万件から数十万件程度といった小・中規模のTLDだけでな
く、登録数が100万件を超えるような大規模なTLDでもDNSSECが導入されてお
り、着実に対応が進んでいる印象です。さらに、2010年から2011年にかけて、
gTLDでは.comや.net、ccTLDでは.de(ドイツ)や.uk(イギリス)、.cn(中国)な
どといった、登録数上位を占めるTLDがDNSSECの導入を予定しています。
ただし、ドメイン名の登録者がDNSSECを利用するためには、TLDを管理するレ
ジストリだけでなく、登録を受け付けるレジストラなどもDNSSECに対応する
必要があり、レジストリが対応したからといって、すぐにすべての登録者が
DNSSECを使えるようになるわけではありません。また、DNSサーバを自分で管
理せず、レジストラやホスティング会社など外部のDNSサーバを利用している
場合などは、当然そのDNSサーバもDNSSECに対応している必要があります。
各WG、SWGからの活動報告の部分でも触れましたが、すべてのユーザーが
DNSSECを利用できるようになるためには、各TLDのDNSSEC対応やルートゾーン
への導入以外にも、このように多くのステップが必要なのは事実です。とは
いえ、多数のTLDがDNSSECへの対応を表明しており、ルートゾーンへのDNSSEC
導入に合わせたスケジュールを組んでいるTLDが多数あります。7月のルート
ゾーンへの署名追加によって、各TLDにおける対応は今後より一層進むものと
思われます。
◆ .jpへのDNSSEC導入スケジュールについて
JPRSの米谷嘉朗氏からは、.jpへのDNSSEC導入に関するスケジュールの報告が
行われました。これまでは2010年中の導入予定とだけアナウンスされていま
したが、この日の発表ではこれまでよりも詳細なスケジュールが明らかになっ
ています。
現在の構想では、2010年10月にJPゾーンの署名を開始、2011年1月からDS登録
受け付けおよびJP DNSへの反映を開始する予定とのことです。なお、10月の
JPゾーン署名にあたっては、署名の2ヶ月程度前に署名パラメーターの公開を
行い、署名から1ヶ月程度後にルートゾーンへDS登録をする予定とのことで
す。
また、.jpにおけるDNSSEC導入に関する技術検証についても報告がありまし
た。JPRSでは.jpにおけるDNSSECへの取り組みとして、ステップ1からステッ
プ6までの6段階にわたり技術検証を行っており、2010年7月時点ではステップ
4まで検証が進んでいるとのことです。各ステップの状況説明と同時に今後の
成果発表予定についても説明があり、2010年10月にステップ3および4の実験
レポート公開、2010年11月に開催予定のInternet Week 2010においてそのレ
ポートの解説を予定しているとのことでした。
最後に、「署名開始時」「ルートゾーンへのDS登録時」「DS登録&DNS反映開
始時」といったマイルストーンごとに、それぞれどのような影響があり、
キャッシュDNSサーバなどの挙動がどう変化するのか、図を交えて詳細な説明
が行われました。
.jpへのDNSSEC導入に関しては、JPRSから7月21日にプレスリリースが出され
ていますので(*3)、そちらも併せてご参照ください。
(*3) http://jprs.co.jp/press/2010/100721.html
◆ ルートゾーンのDNSSEC署名の状況について
慶應義塾大学/WIDEプロジェクトの加藤朗氏とJPRSの民田雅人氏からは、ルー
トゾーンのDNSSEC署名に関する報告が行われました。加藤氏からは、ルート
ゾーンへのDNSSEC導入についてこれまでの経過が説明された後、ルートゾー
ンへの署名完了に関するアナウンスが出された2010年7月16日早朝(日本時間)
以降の、ルートサーバのトラフィックが報告されました。加藤氏によると、
今のところ、ルートゾーンへのDNSSEC導入に伴う顕著なトラフィック増加は
認められないとのことでした。
続いて、民田氏からは「rootゾーンのKSK管理」と題して、ICANN KSK
Ceremony 2への参加記を中心に、ICANNによるルートゾーンのKSK(Key Signing
Key)管理に関する詳細について説明が行われました。KSKとは日本語で「鍵署
名鍵」と呼ばれるもので、各ゾーンに署名する際に用いられるZSK(Zone
Signing Key; ゾーン署名鍵)に署名される際に使われる鍵です。ドメイン名
空間のツリー構造において最上位に位置する、ルートゾーンのZSKに署名をす
る際に使われるKSKは、DNSSECの仕組みにおいて大変重要な役割を占めるもの
です。
ICANN KSK Ceremonyとは、このKSKの秘密鍵と公開鍵を生成するプロセスで、
2010年6月16日の米国東海岸におけるCeremony 1、7月12日の米国西海岸にお
けるCeremony 2の、計2回のキーセレモニーが行われました。民田氏は、世界
中で21名いるTCR(Trusted Community Representatives; 「信頼されたコミュ
ニティの代表者の意」)の一人として、ルートゾーンのKSK管理に関わってい
ます(*4)。
TCRは、ルートゾーンへのDNSSEC導入に伴い、鍵を生成・保管する機器である
HSM(Hardware Security Module)の稼働や、キーセレモニーへの参加といった
役割を担っており、民田氏はそのTCRの中でもCrypto Officer(CO)と呼ばれ
る、HSMを稼働させる役割を担当されているとのことでした。HSMを稼働する
ためには、3セットのスマートカードが必要であり、そのカードを保存するた
めのスロットには物理的な鍵がかけられているそうで、民田氏をはじめとし
た7名いるCOが、その物理鍵を保管しているそうです。
このような役割を担っている方から直接話を聞く機会はやはり珍しいのか、
質疑応答の時間には各参加者から「どんな物理鍵なのか」や「24時間肌身離
さず持ち歩いているのか」など、興味津々の様子で多くの質問が行われてい
ました。
(*4) http://jprs.co.jp/press/2010/100617.html
KSKやZSKといったDNSSECの仕組みに関しては、JPNICニュースレター43号の
「インターネット10分講座」で詳しく解説していますので、こちらを併せて
ご覧ください。
インターネット10分講座: DNSSEC
http://www.nic.ad.jp/ja/newsletter/No43/0800.html
◆ DNSSECにおける鍵管理ポリシー
最後に、Neustar社のEdward Lewis氏より、「DNSSEC Key Management
Design」と題して、DNSSECにおける鍵管理ポリシーに関する発表が行われま
した。当日は英語でのプレゼンテーションということで、JPNICの木村泰司が
逐次通訳を行いました。Lewis氏は時折日本語の単語を使ったジョークを交え
るなど軽妙な語り口で、会場を大きく盛り上げていました。
Neustar社は、登録数200万件を超えるgTLDである.bizと同時に、約170万件の
登録がある米国のccTLD、.usのレジストリ業務も行っています。このような
大規模TLDにおいて、DNSSECを実際に運用しているNeustar社からの報告はと
ても説得力のあるもので、多くの参加者の参考になったのではないかと思い
ます。
◆ おわりに
今回筆者が報告を行うにあたり、各TLDのアナウンスなどを調べていて気付い
たことは、各TLDによってDNSSEC導入に関するスタンスの差が、比較的大きい
ということです。何をもって「対応した」「導入を完了した」と言っている
のかという用語の定義なども各TLDにおいてまちまちな状況ですが、そもそも
DNSSECに対応したことでさえほとんどアナウンスしていないTLDもかなりあり
ました。
もちろん、それほど熱意を持って取り組んでいないからというのがその理由
であるTLDも存在するのでしょうが、一方でDNSSECに対応するのは当然のこと
であり、それほど大々的に発表することではないと考えているTLDもあるかも
しれません。
現在はまだまだ過渡期であり、導入にあたってはさまざまな検討や検証が必
要なDNSSECですが、IPv6や国際化ドメイン名(IDN)のように、今後準備する機
器やソフトウェアなどでは「対応していて当たり前」というような状況に、
これからはなっていくのかもしれません。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
わからない用語については、【JPNIC用語集】をご参照ください。
http://www.nic.ad.jp/ja/tech/glossary.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■
::::: 会員リスト ::::: http://www.nic.ad.jp/ja/member/list/
:::: 会員専用サイト :::: http://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
JPNIC News & Views vol.768 【臨時号】
@ 発行 社団法人 日本ネットワークインフォメーションセンター
101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
@ 問い合わせ先 jpnic-news@nic.ad.jp
===================================
___________________________________
本メールを転載・複製・再配布・引用される際には
http://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更 http://www.nic.ad.jp/ja/mailmagazine/
■■◆ @ Japan Network Information Center
■■◆ @ http://www.nic.ad.jp/
■■
Copyright(C), 2010 Japan Network Information Center
JPNICはインターネットの円滑な運営を支えるための組織です
- JPNIC
-
IPアドレス・AS番号
指定事業者向け各種申請手続/お知らせ
一般ユーザーの方
-
JPNIC会員
会員向け情報/各種変更手続
入会のご案内
