メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    __
    /P▲        ◆ JPNIC News & Views vol.1711【臨時号】2019.9.2 ◆
  _/NIC
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1711 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

2019年7月下旬に、カナダ・モントリオールにて第105回IETFミーティングが
開催されました。この会合のレポートを、vol.1708より連載にてお届けしま
す。連載第3弾となる本号では、昨今のDoTやDoHといったDNS関連技術の登場
を受けた、今後の標準やベストプラスティスなどの策定に向けた議論の動向
をご紹介します。

次回の第4弾では、トランスポート分野に関連した話題を取り上げる予定で
す。また、既に発行した全体会議およびIoT関連のレポートについては、下記
のURLからバックナンバーをご覧ください。

  □第105回IETF報告
    ○[第1弾] 全体会議報告 (vol.1708)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2019/vol1708.html
    ○[第2弾] IoT関連報告 MUDとHackathon
      ~IoT機器の安全なネットワーク接続~ (vol.1709)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2019/vol1709.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第105回IETF報告 [第3弾]  「DNSの処理を行うアプリケーション」の話題
                           JPNIC 技術部/インターネット推進部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

第105回IETF (IETF 105)で、「DNS (Domain Name System)の処理を行うアプ
リケーション(Applications Doing DNS、略称「ADD」)」というBoFが開かれ
ました。本稿では、このBoFの様子をお届けします。

IETFでは、DNSの伝送路(トランスポート)においてTLS (Transport Layer
Security)やHTTPSを用いることで、問い合わせの内容を第三者に傍受されな
いようにする、DoT (DNS over TLS)、DoH (DNS over HTTPS)といった仕組み
が作られています。これらは、トランスポートが暗号化されたり、どのフル
リゾルバが使われているかを分かりにくくしたりするといった、通信上の変
化だけでなく、アプリケーション自体がDNSの問い合わせ先に関わる処理を行
うようになるという、変化をもたらします。

ADD BoFは、これらの変化を踏まえて、今後の標準やベストプラクティス、ガ
イダンスを策定する取り組みについて、議論するために開かれました。会場
には250名以上が集まり、立ち見の人もいました。

  Applications Doing DNS (add)
  https://datatracker.ietf.org/wg/add/about/


■ ADD BoFの背景 - DoTやDoHの登場

DNSは長らく、UDP (User Datagram Protocol)の53番ポートを使って、平文で
問い合わせ応答が行われる仕組みとして使われてきました。これがスノーデ
ン事件を機に、IETFにおいて状況が変わってきます。大規模な通信傍受を攻
撃行為とみなし、その影響が及ばないようにプロトコルを策定していこう、
という考え方が出てきたのです(RFC7258)。この考え方を受けて、問い合わせ
応答の内容を第三者に分かりにくくする、DoTやDoHが作られてきました。

  RFC7858 - Specification for DNS over Transport Layer Security (TLS)
  https://tools.ietf.org/html/rfc7858

  RFC8484 - DNS Queries over HTTPS (DoH)
  https://tools.ietf.org/html/rfc8484

これらが普及すると、DNSサーバやネットワーク管理に影響があると考えられ
ています。Webサーバがリゾルバの役割を担ったり、ローカルのリゾルバがバ
イパスされてしまったりするためです。さらに、DoHで使うリゾルバを選択す
る仕組みが改良されると、どのDNSリゾルバが使われているかも分かりにくく
なります。具体的には、ユーザー環境において、どのようなDNSの問い合わせ
応答が行われているのかが、DNSサーバやネットワークの運用を行っている側
では把握できなくなるのです。DNSを使って、マルウェアが行っている通信を
判別することも、行いにくくなります。CDN (Content Delivery Network)の
ような、従来のDNSを想定した仕組みの動作にも影響があると考えられます。
これらについて、「ADD BoFイントロ」で述べられています。

  ADD BoFイントロ - これまでの経緯 (ADD BoF Intro, How we got here)
  https://datatracker.ietf.org/meeting/105/materials/slides-105-add-add-bof-intro-00.pdf


■ DNSの変化に関わるこれまでの議論

これらのDNSにおける変化について、DoH WGやDPRIVE WGで議論となり、前回
のIETF 104で行われたサイドミーティングを経て、ADDのメーリングリストが
作られました。前述の資料によると、論点を集めた文書として以下の三つが
挙げられています。

  Centralized DNS over HTTPS (DoH) Implementation Issues and Risks
  https://tools.ietf.org/html/draft-livingood-doh-implementation-risks-issues-03
  - DoHの普及によって中心的なDNSサーバができることのリスクなど

  DNS over HTTPS (DoH) Considerations for Operator Networks
  https://tools.ietf.org/html/draft-reid-doh-operator-00
  - 通信事業者に関わるDoHの法律に関連する整理やCDN、captive portalの
    ような仕組みへの影響

  Recommendations for DNS Privacy Client Applications
  https://tools.ietf.org/html/draft-bertola-bcp-doh-clients-00
  - DoHクライアントによるDNSの仕組みなどへの影響

これらは、ブロッキングやCDN、DNSリゾルバを提供するサービスについて、
技術的な側面を押さえておくためにはとても参考になる文献であると、筆者
には思われました。


■ ADD BoFにおける議論

BoFでは、MozillaやGoogle社といった、DoHを使えるWebブラウザや、サービ
スを提供している組織の技術者から考え方が説明され、続いて議論が行われ
ました。これらはすべて、IETFの参加者としての発言ですので、所属組織を
代表したものではなく、発表者個人の見解ということになります。

  DNS in Applications(アジェンダでは Mozilla's vision for DNS & apps),
  Martin Thomson氏
  - ユーザーのセキュリティとプライバシーは基本であり、オプションでは
    ない(Mozilla Manifesto)。それにのっとってHTTPSの導入が進められて
    きた。
  - DNSは一貫した名前空間を持つものではなくなってきている。もし一貫し
    たものであったなら、DoHをデフォルトにしていた。
  - DNSは効果的な「control point」になっていない。おのおののリゾルバ
    サーバは、プライバシー保護において重要だが、既にcaptive portalや
    マルウェア検知において、DNS応答の内容が変わるといったことが起きて
    いる。
  - DNSを使ったコンテンツブロッキングは、オーバーブロッキングなどの懸
    念もある。

  Google's perspective, Kenji Baheux氏
  - ユーザーのネットワークにおいてリゾルバがある状態、リゾルバがおの
    おののネットワークで提供されていることに、変化を起こそうとしてい
    るわけではない。
  - DoHは使う時に有効にできるものであればよい。DNSサーバの提供者は、
    プライバシーに関する要件に従っているべき。

  ブラウザ以外のデバイス(アジェンダでは Non-browser apps doing DNS),
  Jim Reid氏
  - 運用やポリシーとして検討すべき事項としては、DNSSECのトラストアン
    カーをどのように設定するのかという点、DoTやDoHをどのように選択す
    るのかという点、何にフォールバックするのかという点、ローカルのリ
    ゾルバーを選択するのか、ベンダーが指定するものを選択するのかといっ
    た点がある。
  - DNSの問い合わせ応答に関する情報漏洩や、悪意のあるリゾルバの脅威に
    ついての明文化も必要。

この他に、WebサーバがDoHサーバのURLをWebクライアントに伝える方式の提
案や、DoHサーバの運用やCDNなどへの影響に関するドキュメント化の提案、
DoHにおけるHTTP PUSHの利用可能性などについてプレゼンテーションがあり、
議論されました。

会場では、WGを作成して議論する場を設けるべきといった意見の他、DNSの名
前解決が特定のリゾルバに集中しやすい状況になると、そのリゾルバの利用
状況さえ手に入れば、大規模な傍受が行われやすくなるという懸念が挙げら
れていました。

今回紹介したプレゼンテーション資料は、下記のADD BoFのページにありま
す。

  Applications Doing DNS (add) BOF
  https://datatracker.ietf.org/meeting/105/materials/agenda-105-add-04.html

                  ◇          ◇          ◇

今回の議論を聞いていて、発表者の多くは、理想の姿を明確にしようとし、
そこに近づくようにデプロイしていく、もしくはプロトコルを扱っていくと
いう姿勢であることが印象に残りました。自組織の事業に都合がいいかどう
か、他の事業に都合のいいことを自組織もやるべきかどうか、といった視点
もあるかもしれませんが、全体を俯瞰して、例えば大規模な通信傍受への対
策のためにはどういうプロトコルが必要なのかといった視点は、間違いなく
存在しています。

「利用者の多いWebブラウザが仕様を変えたから仕方がない、自組織のサービ
スを変えていこう」という「追いかける姿勢」では、追いつくこと、ひいて
は技術の仕組みにおいてリーダーシップを発揮することは難しいはずです。
大手の海外の事業者が提供するサービスを利用するだけでなく、生み出す側
になるには、グローバルな理想像の議論に参加し、根本的な趣意を押えてい
くことが重要であるように思われました。

次回のIETF 106は、2019年11月16日(土)から22日(金)まで、シンガポールで
開催されます。


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
          まわりの方にもぜひNews & Viewsをオススメください!
      転送にあたっての注意や新規登録については文末をご覧ください。
                  ◇              ◇              ◇
       わからない用語については、【JPNIC用語集】をご参照ください。
             https://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃     ◆◇◆◇◆   本号のご感想をお聞かせください   ◆◇◆◇◆     ┃
┃良かった                                                          ┃
┃ https://feedback.nic.ad.jp/1711/52cd5c88309352e2c189c6a01558a854 ┃
┃                                                                  ┃
┃悪かった                                                          ┃
┃ https://feedback.nic.ad.jp/1711/35d91b4f22310bf7b1fd097c5d862dc8 ┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  ::::: https://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 JPNIC News & Views vol.1711 【臨時号】

 @ 発行  一般社団法人 日本ネットワークインフォメーションセンター
          101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
 @ 問い合わせ先 jpnic-news@nic.ad.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
___________________________________
            本メールを転載・複製・再配布・引用される際には
        https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
   ◇ JPNIC Webにも掲載していますので、情報共有にご活用ください ◇
登録・削除・変更   https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー     https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■     News & ViewsはRSS経由でも配信しています!    ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

■■◆                          @ Japan Network Information Center
■■◆                                     @  https://www.nic.ad.jp/
■■

Copyright(C), 2019 Japan Network Information Center
            

このページを評価してください

このWebページは役に立ちましたか?
よろしければ回答の理由をご記入ください

それ以外にも、ページの改良点等がございましたら自由にご記入ください。

回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2024 Japan Network Information Center. All Rights Reserved.