ニュースレターNo.45/2010年7月発行
ICANNによるルートゾーンスケーリング調査について
ルートゾーンスケーリングとは、DNSSECの導入、DNSサーバへのIPv6アドレス付与、IDN ccTLDおよび新gTLDの追加などによりルートゾーンが拡張されることによる影響を指します。
本稿では2009年にICANNによって行われた、DNSSEC※1や新gTLDに関連するルートゾーンスケーリング調査について、掘り下げてお伝えします。
調査の経緯
2009年2月のICANN理事会決議(2009-02-03-04)※2で、同月中のルートゾーンスケーリング調査に関する委任事項(Terms of Reference; ToR)の作成と、同年5月15日までの報告および勧告の提出を、理事会に対して行うことが定められました。
ToRには、主に提出物として何を記載すべきか詳細に記述されています。その中で、本調査の主要な成果物は、ルートサーバシステムの各部分がどのように関連しているのかを示す作成されたモデルであるとうたっています。このモデルを作成することで、各変数を変化させた場合にどのような結果になるかが予想できるとしており、このモデルは定量的であればあるほどよいとされています。提出物について規定している部分では、TLD数が「数百から1万まで」「1万から30万まで」「30万以上」の三つの場合に分けて、それぞれの場合における影響を推定するよう求めています。
ToRの発行は大幅に遅れ、同年5月5日付で発行されました。発行のアナウンス※3は5月29日付でなされ、7月31日まで意見募集に付されました。
次に、ICANNシドニー会議の一環として、6月22日に本件に関して調査チーム(Study Team)および運営グループ(Steering Group)の一部メンバーが、プレゼンテーションを行いました。
その後、9月18日付で報告書完成のアナウンス※4があり、11月29日まで意見募集に付されました。調査チーム名で提出されたこの報告書※5には、要旨にて次の2点が示されています。
-DNSSEC、新TLD、IDN、およびIPv6アドレスを同時にルートに追加することに伴うリスクは、現在のルートサーバ運用の仕組みを変えることによってのみ対処可能
-今の仕組みを変えずに優先順位をつけて導入するとすれば、DNSSECがその他の三つに先駆けて導入されるべき
この結論を出した根拠は、ルートサーバオペレーターに作業負荷がかかり、余裕がなくなりすぎるためと説明されています。
また、モデルによる解析の結果では、モデルが十分でないため、この結果の信頼性は限定的であるとしながらも、5,000~8,000TLDを超えたあたりで、TLDの変更要求処理に要する時間が現実的でなくなる(100時間程度)可能性が示されています。
なお、上記モデル化の部分についてはTNO※6が担当し、別に報告書※7を発行しています。こちらは10月1日より11月29日までに意見募集が実施※8されました。
10月28日には、ICANNソウル会議にてルートゾーンスケーリング調査についてのセッションがあり、調査結果が発表されました。
本調査についての問題点
まず、理事会決議において、ToR作成および報告書/勧告提出の要請が誰に対して行われたのかは、理事会議事録を見ても直接的には明確にされていませんが、ICANN事務局による本調査についてのアナウンス※3によれば、セキュリティと安定性に関する諮問委員会(SSAC)ルートサーバシステム諮問委員会(RSSAC)およびスタッフに対してとなっているようです。
その結果、でき上がったToRについては、誰が作成したのか記載がありません。
また、調査チームおよび運営グループについては、前者はDNSの専門家、後者はSSACとRSSAC、およびICANNスタッフからなると、構成メンバーが公表されてはいますが、理事会決議およびToRでは明確に位置付けられていません。ICANNからのアナウンス※4では、コンサルティング会社であるInterisle社が調査のために選定されたとも発表されており、報告書本体には、「調査チームが運営グループのために作成した」とは記載されているものの、本当に誰が報告書を作成したのか、関係も含めて不明瞭です。
さらにはこの報告書中での、「DNSSEC、新TLD、IDN、およびIPv6アドレスを同時にルートに追加することに伴うリスクは、現在のルートサーバ運用の仕組みを変えることによってのみ対処可能」「DNSSECがその他の三つに先駆けて導入されるべき」という結論は、数字が入っていない概念図によって導かれており、モデルに基づくものではありません。調査結果および勧告の章ではモデル解析の結果は使われておらず、さまざまな箇所で技術的な解説がなされているものの、ToRが求めているものとは異なった内容となっています。
以上のことから、報告書の内容はToRが求めるものからは、かなり程遠い内容となっていると言えるでしょう。
報告書に対する意見募集で寄せられたコメントの多くは、定量的な分析が不十分であることと、ToRと報告書内容とのずれがあることを指摘しています。意見募集期間が終了してから半年以上が経ちましたが、寄せられた意見のまとめおよび分析は、本稿執筆時点ではまだ発行されていません。
2010年2月15日に、ICANNスタッフからSSAC/RSSACからの報告を待ち望んでいるとの表明がされましたが、本稿執筆時点では両諮問委員会からの報告もなされていません。ただし、SSACからは、2009年12月17日付でルートゾーンスケーリング調査報告書およびTNO報告書へのコメント文書※9が公開されています。この文書においても、ToRと報告書内容との隔たりについて指摘がされています。
おわりに
ルートゾーンへのDNSSEC導入は、2009年12月より順次導入に向けて準備が進んでおり、2010年5月から6月にかけて最終判断がなされた上で、7月15日までに終わらせることになっています。また新gTLDについては、2010年中の導入をめざすとされています。
今後、本調査がモデルの改良などを盛り込んで再度なされるのか、もしくはたなざらしになるのかはわかりませんが、DNSSECおよび新gTLDのスムーズな導入のためにも改善され、誰でもモデルにより試算ができるようにしてもらえれば、と筆者は思います。
(JPNIC インターネット推進部 山崎信)
- ※1 DNSSEC
- DNSに関するセキュリティの強化を行うための拡張機能です。DNSで提供する情報に電子署名を付加し、DNSを使って得られた情報と発信元にある情報との同一性を保証します。
- ※2 ICANN 理事会決議(2009-02-03-04)
- http://www.icann.org/en/minutes/minutes-03feb09.htm
- ※3 Root Server System Root Scaling Study
- http://www.icann.org/en/announcements/announcement-29may09-en.htm
- ※4 “Release of Interisle and TNO reports on Root Scaling”
- http://www.icann.org/en/announcements/announcement-2-18sep09-en.htm
- ※5 “Scaling the Root”
- http://www.icann.org/en/committees/dns-root/root-scaling-study-report-31aug09-en.pdf
- ※6 Nederlandse Organisatie voor Toegepast Natuurwetenschappelijk Onderzoek(TNO): オランダ応用化学研究機構
- http://www.tno.nl/
- ※7 “Root Scaling Study”
- http://www.icann.org/en/committees/dns-root/root-scaling-model-description-29sep09-en.pdf
- ※8 “Publication of TNO Report Describing Root Scaling Model”
- http://www.icann.org/en/announcements/announcement-2-01oct09-en.htm
- ※9 SAC042
- http://www.icann.org/en/committees/security/sac042.pdf
