メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway

よく検索されるキーワード

IPv6 DNS HTTP WHOIS BGP IPv4 ドメイン名とは IPアドレス FQDN インターネット
ロゴ:JPNIC
WHOIS検索 サイト内検索

よく検索されるキーワード

===================================
    __
    /P▲        ◆ JPNIC News & Views vol.1346【臨時号】2015.10.9 ◆
  _/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1346 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

2015年9月上旬にインドネシアのジャカルタで開催された、アジア太平洋地域
の地域インターネットレジストリであるAPNICのカンファレンスについて、昨
日は前編にて、全体概要およびアドレスポリシー関連報告をお届けしました。

□APNIC 40カンファレンス報告
  [前編] 全体概要およびアドレスポリシー関連報告(vol.1345)
  https://www.nic.ad.jp/ja/mailmagazine/backnumber/2015/vol1345.html

後編となる本号では、技術動向をレポートします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ APNIC 40カンファレンス報告 [後編] 技術動向報告
                           JPNIC 技術部/インターネット推進部 木村泰司
                                                   JPNIC 技術部 澁谷晃
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

APNICカンファレンスでは、毎回開幕直後に、環太平洋地域のインターネット
運用者を対象とした情報交換と交流の場となるAPOPS (The Asia Pacific
OPeratorS forum)が行われ、年間の動向や注目すべきテクノロジーについて
共有と報告がなされます。今回のAPOPSは、2015年9月8日(火)に、APOPS 1~2
の二つのセッションが開催されました。

本稿では、APOPSで紹介された、ICANNによるルートゾーンのKSK(鍵署名鍵)更
新に関する二つの講演と、Policy SIGにおけるIPv4アドレスの移転と経路ハ
イジャックの話題について報告します。


■ ルートゾーンのKSK(鍵署名鍵)更新に関する話題

○DNS Root Zone KSK Rollover

ICANNのElise Gerich氏から、"DNS Root Zone KSK Rollover"という題名に
て、ICANNが実施を予定するルートゾーンのKSK更新の現状と、今後の動向が
紹介(*1)されました。

ルートゾーンのKSKは、ルートゾーンに署名するための鍵です。これは、DNS
のDNSSECの検証(バリデーション)をルートからたどって行うために必要とな
るもので、DNSSEC検証に対応したDNSキャッシュサーバーは、ルートゾーンの
KSKの公開鍵を保持しています。DNSSECの検証やKSKの役割など、DNSSECの基
本的な仕組みの詳細は、JPNICニュースレター No.43 インターネット10分講
座「DNSSEC」(*2)をご参照ください。

KSKはセキュリティ上の観点から、一定期間で更新することが推奨されていま
す。ICANNがDNSSECの運用方針を定めた文書であるDPS(*3)には、5年経過した
後にKSKの更新を行うよう定めており、ICANNがルートゾーンのKSK運用を開始
した2010年から今年で5年を迎えることになるため、KSKの更新が必要になり
ます。

ICANNはルートゾーンのKSK更新について、ベリサイン社および米国商務省電
気通信情報局(NTIA)と協力し、以前からルートゾーンKSK更新計画を策定して
いました。ICANN、ベリサイン社、NTIAの3者は、ルートゾーン管理パートナー
と呼ばれています。2014年12月、ICANNはルートゾーン管理パートナーに加え
て、コミュニティの有志とルートゾーンKSK更新計画を策定する設計チームを
編成しました。その設計チームが本年2015年8月にドラフトを公開(*4)したた
め、DNSSECの運用経験のある技術者にコメントを寄せてほしいとの要請があ
りました。

(*1) DNS Root Zone KSK Rollover,
     Elise Gerich (ICANN)
     https://conference.apnic.net/data/40/apnic40-gerich_1441676606-clean.pptx

(*2) Newsletter No.43 インターネット10分講座「DNSSEC」
     https://www.nic.ad.jp/ja/newsletter/No43/0800.html

(*3) DNSSEC Practice Statement for the Root Zone KSK Operator (DPS)
     https://www.iana.org/dnssec/icann-dps.txt

(*4) Design Team Review of Plan for DNS Root Zone KSK Change
     https://www.icann.org/public-comments/root-ksk-2015-08-06-en


○  Testing Rolling Roots

前述のGerich氏の発表を受けて、ルートゾーンKSK更新計画設計チームのメン
バーであるAPNICのGeoff Huston氏から、"Testing Rolling Roots"という題
名にて技術的な詳細の発表(*5)がありました。

DNSSECの利用率については、APNICが継続的に実施している観測の統計では、
DNSSECの検証を有効にしてDNSの問い合わせを行っているクエリが、全体の14%
になっているということでした。

ルートゾーンのKSK更新に併せてキャッシュサーバー側にあるKSKも更新しな
いと、DNSSECの検証ができなくなることになりますが、KSKの更新について
は、キャッシュサーバー側は手動で更新するほかに、自動で更新する手段が
あり、自動更新についてはRFC5011で詳細が定められています。こちらにのっ
とれば自動でキャッシュサーバー側も更新されるはずですが、RFC5011の通り
自動更新されるキャッシュサーバーがどのくらいあるのか、事前に測定する
のは難しい状況ということでした。

また、ルートゾーンがKSKを更新する際には、現行のKSKをいきなり削除する
のではなく、新しいKSKと従来のKSKを併存させた併存期間を設けた後、現行
のKSKを削除することになります。

併存期間中はDNSのパケットサイズが増えるので、その増えたパケットを
キャッシュサーバー側が取り扱えるかどうかも課題となります。実験として、
観測対象のDNSキャッシュサーバーに対して、併存期間中に想定されるパケッ
トサイズである1,440バイトのレスポンスを処理できるか試したところ、全体
の1%のキャッシュサーバーがDNSの名前解決に失敗したとのことでした。ただ
し参考として、現状ORGドメイン名が1,650バイトのパケットサイズでレスポ
ンスを返しており、これによりインターネット上で特に問題が見られないこ
とからすると、パケットサイズの点はルートゾーンについてもおそらく問題
ないのではないかという見解が述べられました。

また、KSK更新の実施時期も検討課題となります。前述のDPSでは四半期(1月・
4月・7月・10月)のどこか初めの日に鍵更新を行うと規定されていますが、
2016~2017年のカレンダーでは、いずれの四半期も初めの2日間が土日を含ん
でしまい、インターネットの運用者の業務態勢に影響が出ることが考えられ
ます。

このように検討課題はあるものの、KSK更新に関する設計チームは今秋にとり
まとめを行い、ルートゾーンパートナーへ提出する予定とのことでした。

(*5) Testing Rolling Roots,
     Geoff Huston (APNIC)
     https://conference.apnic.net/data/40/2015-09-08-kskroll_1441514429.pdf


■ IPv4アドレスの移転と経路ハイジャックの話題

APNIC 40のPolicy SIGでは、国際的なIPv4アドレスの在庫枯渇状況に加えて、
アジア太平洋地域における移転状況のほか、移転後のアドレスが経路ハイ
ジャックにあっていた事例が発表されていました。

APNICのHuston氏によると(*6)、RIRにおいては、ARINではIPv4アドレス在庫
がほぼ枯渇(当該発表時点)しており、/10のIPv4アドレスをIPv6移行のために
保持している状態で、RIPE NCCは最後の/8とIANA返却アドレスからの割り振
り分、AFRINICは約2.5個分の/8、LACNICは二つの/11、APNICは最後の/8とIANA
返却アドレスからの割り振り分を残している状態です。AFRINICを除くとして
も、今後、IPv4アドレスを入手するために、アドレスの移転が行われていく
ことが考えられます。実際にアジア太平洋地域では、2010年以降IPv4アドレ
スの移転件数・サイズ共に増加傾向にあります。

(*6) The Status of APNIC’s IPv4 Resources: Exhaustion & Transfers,
     Geoff Huston (APNIC)
     https://conference.apnic.net/data/40/2015-09-09-ipaddrs_1440921336.pdf

この講演の後、Dyn社のJim Cowie氏から、国際移転されたIPv4アドレスを使
い始めたところ、実は他のネットワークで経路広告されていた、という事例
が紹介されました(*7)。また別の事例として、ヨーロッパでアドレス移転元
になることが多いルーマニアから、2014年10月、イランのモバイル通信会社
にIPv4アドレスの移転が行われたところ、移転されたアドレスのうち半分ほ
どは、米国の大手通信会社において経路広告されていたことが分かったこと
も紹介されました。結局、モバイル通信会社が移転を受けたアドレスの分だ
け細かい経路情報を広告し、そのアドレスに対する到達性を得られるように
したということでした。

この影響で、Cowie氏の知る移転の事業者では、インターネットで経路広告で
きることが確認されていないIPv4アドレスは、取り扱わないことになったと
のことです。

(*7) IPv4: Mining Strategic Reserves, Jim Cowie (Dyn)
     https://conference.apnic.net/data/40/mining20strategic20reserves20cowie20apnic202015_1441819312.pdf

国内でも、IPアドレスの移転を受ける時には、実際にインターネットで経路
広告して使うことのできるアドレスであるかどうかの確認が重要であると言
えます。


■ 終わりに

ルートゾーンKSK更新はDNSSEC検証に影響の大きいものとなるので、今秋から
逆引きDNSSECのサービスを開始するJPNICとしても、動向を注視していきま
す。

本年11月に開催を予定している、Internet Week 2015のチュートリアルセッ
ション「今日から始めるDNSSECバリデーション」でも、ルートゾーンKSK更新
に対応する方法についてチュートリアルが実施される予定です。

  T5 Internet Week 2015 今日から始めるDNSSECバリデーション
  https://internetweek.jp/program/t5/

またインターネットルーティングについては、下記のセッションが行われる
予定です。

  S12 垣根を越える!インターネットルーティングセキュリティ
  https://internetweek.jp/program/s12/

ご興味のある方、対象の方はぜひご参加ください。


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
             https://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃     ◆◇◆◇◆   本号のご感想をお聞かせください   ◆◇◆◇◆     ┃
┃良かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1346/945d811314f549506a8580b9c9aa67b0┃
┃                                                                  ┃
┃悪かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1346/22c29c0058cad847f2cd33579037ee13┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
╋■╋■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
                       https://blog.nic.ad.jp/
┏━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┓
┃J ┃P ┃N ┃I ┃C ┃の┃B ┃L ┃O ┃G ┃も┃ご┃覧┃く┃だ┃さ┃い┃
┗━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┛
インターネットとJPNICを取り巻く状況についてカジュアルにお知らせします
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■╋■╋
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  ::::: https://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.1345 【臨時号】

 @ 発行  一般社団法人 日本ネットワークインフォメーションセンター
          101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
 @ 問い合わせ先  jpnic-news@nic.ad.jp
===================================
___________________________________
            本メールを転載・複製・再配布・引用される際には
        https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更   https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー     https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■     News & ViewsはRSS経由でも配信しています!    ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

■■◆                          @ Japan Network Information Center
■■◆                                     @  https://www.nic.ad.jp/
■■

Copyright(C), 2015 Japan Network Information Center

このページを評価してください

このWebページは役に立ちましたか?
よろしければ回答の理由をご記入ください

それ以外にも、ページの改良点等がございましたら自由にご記入ください。

回答が必要な場合は、お問い合わせ先をご利用ください。

メールマガジン(JPNIC News & Views)登録

パスワードが記載された確認メールが発送されます。 確認メールが届かない場合は、 ご入力いただいたメールアドレスが
誤っていた可能性がありますので、 再度ご登録手続きを行ってください。

ロゴ:JPNIC

Copyright© 1996-2024 Japan Network Information Center. All Rights Reserved.