━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ __ /P▲ ◆ JPNIC News & Views vol.1752【定期号】2020.2.17 ◆ _/NIC ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ---------- PR -------------------------------------------------------- ―TOHKnet(トークネット) 東北インテリジェント通信株式会社― ┏◆◇つなげる力を、明日のために。◆◇━━━━━━━━━━━━━━━┓ ┃ 事業所間ネットワーク・インターネット・クラウド等のサービスや ┃ ┃ お客さまの導入事例をHPにてご紹介中! 詳しくはこちらから↓ ┃ ┗━━━━━━━━━━━━━━━━━━━ http://www.tohknet.co.jp/ ┛ ---------------------------------------------------------------------- ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ◆ News & Views vol.1752 です ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 毎月15日(土日祝の場合はその翌日)に発行している定期号では、特集記事の みならず、業界メンバーのコラムや用語解説、統計などもお届けしています。 本号の特集では、DNSの用途の変遷とプライバシーやセキュリティ対策への需 要の高まりに伴い標準化された、DNS over TLS (DoT)やDNS over HTTPS (DoH) の動向について説明しています。 News & Views Columnでは、沖縄通信ネットワーク株式会社の吉浜賢さんに、 沖縄のISPにお勤めゆえに見えてくる通信コストの地域格差について語ってい ただきました。また、インターネット用語1分解説では、地理的に離れたネッ トワークをイーサネットで結ぶ「広域イーサネット」について解説していま す。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ◆ 目次 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【 1 】特集 「DNS over TLS (DoT)やDNS over HTTPS (DoH)に関する動向」 【 2 】News & Views Column 「インターネットで感じる物理的な距離」 沖縄通信ネットワーク株式会社 吉浜賢氏 【 3 】インターネット用語1分解説 「広域イーサネットとは」 【 4 】統計資料 1. JPドメイン名 2. IPアドレス 3. 会員数 4. 指定事業者数 【 5 】イベントカレンダー ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【 1 】特集 「DNS over TLS (DoT)やDNS over HTTPS (DoH)に関する動向」 JPNIC 技術部/インターネット推進部 小山祐司 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■ 従来のDNS DNSは、ドメイン名からIPアドレスを調べたり、ドメインのメールサーバを検 索したりするなど、インターネット上のさまざまな場面で利用される、重要 なシステムの一つです。 DNSの元となった仕様は古く、基本仕様であるRFC1034(*1)は、1980年代に標 準化されました。仕様が設計された当時の状況もあり、信頼性の担保や暗号 化といった機能などは盛り込まれていませんでした。 しかし、時代を経て普及が進むにつれて、DNSは広範囲に普及した大規模な 分散データベースとしてとらえられ、従来の「ドメイン名からIPアドレスを 調べる」といったこと以外にも利用されるようになってきています。 (*1) DOMAIN NAMES - CONCEPTS AND FACILITIES https://tools.ietf.org/html/rfc1034 ■ DNSメッセージの暗号化 DNSの取り扱うデータや機能の追加、また、ここ数年のプライバシーやセキュ リティ意識の高まりから、DNSにも暗号化機能を持たせようとする議論が活発 化してきました。 プライバシーやセキュリティの議論は、DNSだけではありません。同じよう に、セキュリティに関する議論が各分野で行われています。中でも普及が進 んでいるものとして、WebのHTTP通信におけるTLS (Transport Layer Security)実装、いわゆる「常時HTTPS化」が挙げられます。従来であれば、 ログイン画面やクレジットカード決済など限られた場面でのみ暗号化されて いたWebの通信が、プライバシーの懸念などを理由として、それら以外のWeb ページでも暗号化されるようになり、盗聴や検閲、監視、通信内容のすり替 えなどの行為に対して、対抗できるようになってきました。 しかしながら、HTTPSのみでは完全に秘密を守ることはできません。例えば、 Webページを参照する際には、通信先のWebサーバのIPアドレスを知る必要が あります。その際には、DNSによる名前解決が行われます。そのため、アクセ ス内容そのものは読み取れないものの、Webサイトの参照時に出されるDNSメッ セージを盗聴するなどして、ユーザーがどのようなWebサイトの閲覧をしてい るかおおよその見当を付けたり、場合によってはアクセスを遮断したりする ことも不可能ではありません。こういった状況もあり、IETFではDNSのプライ バシーや暗号化について、さまざまな角度から議論されています(*2)。その 結果を受け、DNS over TLS (DoT, RFC7858)(*3)やDNS over HTTPS (DoH, RFC8484) (*4)が標準化されました。 (*2) DNS PRIVate Exchange (dprive) https://datatracker.ietf.org/wg/dprive/about/ (*3) Specification for DNS over Transport Layer Security (TLS) https://tools.ietf.org/html/rfc7858 (*4) DNS Queries over HTTPS (DoH) https://tools.ietf.org/html/rfc8484 ■ DNS over TLS (DoT) Transport Layer Security (TLS)は、サーバとクライアントの間で行われる 通信を、暗号化する技術です。暗号化だけではなく、接続先のサーバが、ク ライアントの実際に接続したいサーバそのものであるかどうかを、判別する ことができます。 TLSをWebの通信で用いたプロトコルがHTTPSであり、同様にTLSをDNSの通信で 用いたものがDoTです。DoTでもHTTPSと同様に、クライアントと問い合わせ先 のリゾルバとの間でメッセージが暗号化され、また、そのリゾルバが元々問 い合わせたいサーバであるかどうかを確認できるようになります。 DoTは仕様が標準化された後、BINDやUnboundなど各種リゾルバに実装されて います。しかし、残念ながらDoTを利用するにあたっては、アプリケーション やOSなどに対してさまざまな設定をする必要があるため容易に利用できず、 DoTの普及には課題があると言えます。さらに、通信する時のポート番号とし て、DoTには853番が割り当てられており、このポート番号を用いて通信を行 いますが、このポート番号の通信を遮断することでDoTの利用を止めることが できます。DoTをプライバシーやセキュリティ問題の解決策として利用するに は、可用性に課題が存在する状況です。 ■ DNS over HTTPS (DoH) DoTとは違ったDNSメッセージの暗号化技術として標準化されたものが、DNS over HTTPS、通称DoHです。DoHは、従来のDNS通信とは異なり、HTTPSのセッ ション上でDNSの問い合わせおよび応答を行うことにより、安全にDNSの情報 をやり取りできるようにするものです。 DoHは、DNSのセキュリティに関する課題について、解決可能な手法として考 え出されました。具体的には、DNSの運用において、上記で述べたようなアク セスコントロールや、DNSサーバとユーザーとの間の通信内容での改ざんな ど、何らかの通信妨害に対して回避できるようにすること、さらにWebブラウ ザのドメイン間をまたぐアクセス制御である、オリジン間リソース共有(Cross Origin Resource Sharing, CORS)(*5)と、整合性を保った状態でDNS情報を取 得できるようになります。 (*5) オリジン間リソース共有(Cross Origin Resource Sharing, CORS) 例えば、あるドメイン名「example.com」で提供されるページから、別 のドメイン名「example2.jp」の提供するコンテンツにアクセスしよう とする場合に、Webブラウザがアクセスできるかどうかを制御する機能 です。一般的に他サイトへのアクセスは危険とみなされ拒否されます が、CORSを適切に設定することでアクセスができるようになります。 The Web Origin Concept https://tools.ietf.org/html/rfc6454 ■ DNSを暗号化することにより発生する課題 DNSメッセージを暗号化することにより、新たに課題が発生します。DNSの暗 号化は、DNSの問い合わせ内容が秘匿されることがメリットの一つとして挙げ られます。しかしその反面、DNSでやり取りされる内容に基づいて行われるセ キュリティ対策が、無効化されるというデメリットもあります。 例えば、一部のセキュリティ製品ではDNSの問い合わせを監視し、そのアクセ ス先がマルウェア配布サイトであった場合、接続できないようにするなどの 機能を提供しています。また、ペアレンタルコントロールのような、ユーザー がアクセスすべきでないコンテンツへの接続を、DNSを用いてフィルタするこ となどがあります。 従来のDNSであれば、メッセージは平文であるため上記のようなアクセスコン トロールができていたものが、メッセージが暗号化されることによって不可 能になり、かえってセキュリティやプライバシーに新たな問題が発生する可 能性が出てきます。 ■ プライバシー問題 こうした懸念に対してIETFでは、Applications Doing DNS (add) BoF(*6)や、 Application Behavior Considering DNS (abcd) BoF(*7)といった会合が開 かれ、懸案事項の表明やその解決策について議論されました。最近の動向で は、WebブラウザやOSのリゾルバにDoH機能を実装して、将来的にDoHを標準的 に使えるようにしようとする動きがあります(*8)(*9)。それに対して、ペア レンタルコントロールや社内ネットワークでのアクセスコントロールができ なくなるという懸念が、問題提起として挙げられました。DoHをWebブラウザ の標準機能として導入しようとしているMozillaは、Canary domain(*10)と呼 ばれる仕組みを用いて問題を解決しようとしています。Canary domainは、 DoHを使用するかどうか判定する際に、「use-application-dns.net」という ドメイン名を問い合わせて、エラーの有無によってDoHを使用する・しないを 決めるようにするものです。ただ、このCanary domainの仕組みも、ネットワー ク管理者によって、DoHを使用すべきネットワーク環境であっても、意図的に 使用させないようにできてしまうという弱点があります。 (*6) Adaptive DNS Discovery (add) https://datatracker.ietf.org/wg/add/about/ (*7) Application Behavior Considering DNS (abcd) https://datatracker.ietf.org/wg/abcd/about/ (*8) MozillaによるDNS over HTTPS実装のアナウンス What's next in making Encrypted DNS-over-HTTPS the Default https://blog.mozilla.org/futurereleases/2019/09/06/whats-next-in-making-dns-over-https-the-default/ (*9) MicrosoftによるDNS over HTTPS実装のアナウンス Windows will improve user privacy with DNS over HTTPS https://techcommunity.microsoft.com/t5/networking-blog/windows-will-improve-user-privacy-with-dns-over-https/ba-p/1014229 (*10) Canary domain - use-application-dns.net https://support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet ■ リゾルバの選択問題 DoT、DoHと関連する懸念事項として、ユーザーがどのリゾルバを用いるかを、 どのように選択するかという問題があります。従来であれば、ネットワーク への接続時にDHCPで通知されるリゾルバを、参照先に設定するだけで良かっ たのですが、昨今ではそれ以外にも、パブリックDNSサーバのサービスや、DoT やDoHが利用可能な環境では暗号化に対応したリゾルバなど、複数のリゾルバ からユーザーは選択することになります。どのリゾルバに対して、どのよう な問い合わせを行えば良いか、判断が必要になるということです。例えば、 社内サーバの名前解決が、外部のパブリックDNSサーバに対して行われるのは 好ましくありません。また、暗号化すべき問い合わせを、暗号化未対応のリ ゾルバに対して行われるのも同様です。現時点ではまだ解決策は決まってお らず、今後の課題となっています。 ■ 最後に DoTもDoHも、どちらもDNSメッセージを暗号化するプロトコルですが、暗号化 される経路は、リゾルバ(キャッシュサーバ)とクライアントの間のみです。 それ以外の経路、例えば権威サーバとキャッシュサーバの間のメッセージは、 従来のDNSと同様に平文でやり取りされます。そのため、インターネット上で DNSメッセージの盗聴や、改ざんがなされる可能性があります。 また、キャッシュサーバに送られる暗号化されたメッセージは、キャッシュ サーバ上で平文のメッセージに復号されることになります。たとえDoTやDoH を有効にしていたとしても、キャッシュサーバ運用者は通信内容を把握する ことが可能です。 現在、WebブラウザやOSでDoHの実験や実装が進んでいますが、DoHの参照先リ ゾルバが、特定のパブリックDNSサービスになっていることがあります。DoH を利用するにあたっては、アクセス先のDNSサービスでどのようなプライバ シーポリシーで運用されているか、きちんと把握しておくことが重要です。 ■ 参考 ○ 公開パブリックDNSサーバの一覧 DNS Privacy Public Resolvers https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Public+Resolvers ○ イギリスのISP業界団体による、MozillaのDoH導入に対する反対声明 ISPA announces finalists for 2019 Internet Heroes and Villains: Trump and Mozilla lead the way as Villain nominees https://www.ispa.org.uk/ispa-announces-finalists-for-2019-internet-heroes-and-villains-trump-and-mozilla-lead-the-way-as-villain-nominees/ ○ add BoFに関するIETF報告 JPNIC News & Views vol.1711 第105回IETF報告 [第3弾] 「DNSの処理を行うアプリケーション」の話題 https://www.nic.ad.jp/ja/mailmagazine/backnumber/2019/vol1711.html ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ┃ ◆◇◆◇◆ 本特集のご感想をお聞かせください ◆◇◆◇◆ ┃ ┃良かった ┃ ┃ https://feedback.nic.ad.jp/1752/10759a70de5fb118c373c6f2bc4f1012 ┃ ┃ ┃ ┃悪かった ┃ ┃ https://feedback.nic.ad.jp/1752/ed4958f30d26d27ba0b7a1983a606711 ┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【 2 】News & Views Column 「インターネットで感じる物理的な距離」 沖縄通信ネットワーク株式会社 吉浜賢 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ インターネットは物理的な距離をあまり感じることなく、効率的に通信がで きる基盤として発展してきました。現在では、映像配信サービスさえも一般 的になりトラフィック量は爆発的に増加し続けていますが、東京を中心とし た日本のインターネットは、おおむね上手くこの問題に対応しているようで す。 ●通信コストの地域格差 一方で、東京から離れているISPにとって、対応に苦慮している課題もありま す。通信コストはどんどん低廉化していますが、地方のISPは東京から離れて いる分のコストを(専用回線費用や大手ISPの地方POI (Point Of Interface、 相互接続点)利用で)負担する必要があります。沖縄県の場合は、東京から直 線距離で1,500km以上も離れていることもあり、最終的な調達コストは(肌感 覚ですが、同一グレード品目/同一帯域で)3~5倍負担していると感じていま す。 ちなみに沖縄県民の月額の平均賃金は、厚生労働省発表の「賃金構造基本統 計調査(平成30年)」によると246.8千円で、これは東京都の平均である380.4 千円と比較して約65%の水準です。 都市部以外でもリッチコンテンツの利用が増加している傾向は変わらず、当 社コンシューマー顧客の平均ダウンロードトラフィックは、総務省の「我が 国のインターネットにおけるトラヒックの集計・試算(2019年5月分)」で導き 出されたブロードバンド契約書1契約あたりのダウンロードトラフィック推定 約299.4kbpsよりも大幅に多い状況です。賃金の低い地域で製造原価が逆に高 くなってしまう構造は、事業を継続し発展させる上で大きな課題ですが、こ れは沖縄県に限った課題ではなく、地方で通信サービスを提供している事業 者共通の構造的な課題だと思います。もう少し上手くできないものかと悩ん でおります。 ●沖縄県内にもあった! 通信コストの地域格差 沖縄県は離島が多いこともあり、もっと深刻な格差が発生しています。例え ば那覇市と宮古島市は289km、石垣市は406km離れていますが、離島ではそも そも調達できる回線品目も限られる上、同じ帯域だと那覇と比較して5~10倍 (東京対比だと15~50倍!)もコストがかかります。ここまでくると、事業者の 自助努力ではどうしようもなく、どうにかしてあげられないものかと悩んで おります。 インターネットはとても素晴らしい通信インフラですが、日本に限らず世界 中の地方にもこのサービスを届けるためには、この構造的な問題をどうにか 解決する必要がありそうです。 ■筆者略歴 吉浜 賢(よしはま まさる) 1998年にまったく別の分野からISPエンジニアに転職。地方の小規模ISPだっ たこともあり、サーバーもネットワークも幅広く手がける必要があった。2001 年にISP部門が沖縄通信ネットワーク株式会社に吸収され、現在に至る。社内 SE業務も経験したが一番好きな分野はルーティングで、直近では小規模なが らAS統合業務などを担当。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【 3 】インターネット用語1分解説 「広域イーサネットとは」 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ネットワーク規格の一つであるイーサネットは、LAN (Local Area Network) で広く利用されています。広域イーサネットとは、一般的に、遠隔地の拠点 間で一つのLANとなるネットワークを構築することを可能とするために通信 事業者より提供されているサービスを指します。自前で回線の調達が難しい 場合などに利用できます。 メリットとしては、いわゆるレイヤー2のネットワークを組めること、また それによってネットワーク構成上のメリットを追求しやすくなることです。 デメリットとして、通信事業者のサービスを使うことによる費用の増加や、 通信事業者施設部分で発生する問題の把握が難しい可能性があります。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【 4 】統計資料 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1. JPドメイン名 o 登録ドメイン数(2019年9月~2020年2月) -------------------------------------------------------------------------------------------- 日付| AD AC CO GO OR NE GR ED LG GEO GA GJ PA PJ TOTAL -------------------------------------------------------------------------------------------- 9/1|253 3652 425456 582 37069 13170 5915 5393 1890 2204 970013 96845 9994 1937 1574373 10/1|253 3649 426223 581 37088 13154 5896 5402 1890 2202 972685 96461 9972 1941 1577397 11/1|254 3649 427262 583 37141 13124 5877 5393 1890 2192 975000 95938 9930 1930 1580163 12/1|254 3652 428144 586 37202 13094 5873 5396 1891 2191 972298 95603 9767 1906 1577857 1/1|255 3655 429226 583 37252 13048 5863 5406 1891 2187 970438 95123 9651 1829 1576407 2/1|254 3664 429950 585 37325 13011 5850 5412 1892 2178 972621 94664 9692 1767 1578865 -------------------------------------------------------------------------------------------- GA:汎用ドメイン名 ASCII(英数字) GJ:汎用ドメイン名 日本語 PA:都道府県型ドメイン名 ASCII(英数字) PJ:都道府県型ドメイン名 日本語 2. IPアドレス o JPNICからのIPv4アドレス割り振りとJPNICへのIPv4アドレス返却ホスト数 (2019年8月~2020年1月) ------------------------------------------ 月 | 割振 | 返却 | 現在の総量 ------------------------------------------ 8 | 4608 | 0 | 93296584 9 | 512 | 0 | 93297096 10 | 1512 | 0 | 93298608 11 | 0 | 0 | 93298608 12 | 8192 | 7168 | 93299632 1 | 2048 | 0 | 93301680 ------------------------------------------ □統計情報に関する詳細は → https://www.nic.ad.jp/ja/stat/ 3. 会員数 ※2020年2月13日 現在 --------------------- 会員分類 | 会員数 | --------------------- S会員 | 3 | A会員 | 1 | B会員 | 2 | C会員 | 2 | D会員 | 93 | 非営利会員| 10 | 個人推薦 | 33 | 賛助会員 | 45 | --------------------- 合計 | 189 | --------------------- □会員についての詳細は → https://www.nic.ad.jp/ja/member/list/ 4. 指定事業者数 ※2020年2月7日 現在 IPアドレス管理指定事業者数 455 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【 5 】イベントカレンダー ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 2020.2.12(水)~21(金) APRICOT 2020/APNIC 49 (Melbourne, Commonwealth of Australia) 2020.2.20(木) Security Days 2020 [後援] (愛知、JPタ ワー名古屋ホール&カンファレンス) 2020.2.20(木)~21(金) IPv6対応セミナー(秋田) (秋田、秋田拠 点センター ALVE(アルヴェ)) APTLD77 (Melbourne, Commonwealth of Australia) 2020.2.28(金) IGF 2019報告会 (東京、DMM.com本社イベ ントスペース) --------------------------------------------------------------------- 2020.3.2(月)~6(金) APAN 49 (Kathmandu, Federal Democratic Republic of Nepal) 2020.3.7(土)~12(木) ICANN67 (Cancun, United Mexican States) 2020.3.12(木)~13(金) IPv6対応セミナー(鹿児島) (鹿児島、mark MEIZAN) 2020.3.21(土)~27(金) IETF 107 (Vancouver, Canada) --------------------------------------------------------------------- 2020.4.26(日)~29(水) ARIN 45 (Louisville, U.S.A.) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ わからない用語については、【JPNIC用語集】をご参照ください。 https://www.nic.ad.jp/ja/tech/glossary.html ◇ ◇ ◇ メールマガジン以外でも、情報を発信しています! JPNICブログ https://blog.nic.ad.jp/ Twitter https://twitter.com/JPNIC_info ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ___________________________________ ■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■ ::::: 会員リスト ::::: https://www.nic.ad.jp/ja/member/list/ :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有) □┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□ ┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ JPNIC News & Views vol.1752 【定期号】 @ 発行 一般社団法人 日本ネットワークインフォメーションセンター 101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F @ 問い合わせ先 jpnic-news@nic.ad.jp ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ___________________________________ 本メールを転載・複製・再配布・引用される際には https://www.nic.ad.jp/ja/copyright.html をご確認ください  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ◇ JPNIC Webにも掲載していますので、情報共有にご活用ください ◇ 登録・削除・変更 https://www.nic.ad.jp/ja/mailmagazine/ バックナンバー https://www.nic.ad.jp/ja/mailmagazine/backnumber/ ___________________________________ ■■■■■ News & ViewsはRSS経由でも配信しています! ■■■■■ ::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ■■◆ @ Japan Network Information Center ■■◆ @ https://www.nic.ad.jp/ ■■ Copyright(C), 2020 Japan Network Information Center