メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

ニュースレターNo.59/2015年3月発行

APNIC 38カンファレンス報告 各RIRにおける逆引きDNSSECの動向報告

筆者は、JPNICにてIPアドレスおよび逆引きDNSの登録管理システムを運用しているため、参加していた各地域の技術者とその方面の意見交換をしましたが、各地域にて逆引きDNSをFTP(File Transfer Protocol)やメールサービスの運用に活用している事例について、話をうかがうことができました。また、今回のAPNIC 38においては逆引きDNSに関する取り組みについて、APNIC技術チームともさまざまな意見交換を実施しました。本稿では、これらの情報の詳細についてご紹介します。

各RIRにおける逆引きDNSSECの導入状況

国際的な逆引きDNSSEC(Domain Name System Security Extensions)の導入状況を把握するため、世界を五つの地域に分け、それぞれの地域でIPアドレスの割り当て業務を行う組織である地域インターネットレジストリ(Regional Internet Registry; RIR)において、逆引きのDNSにどのくらいDNSSECが導入されているのか、状況を確認しました。

現在、RIRはAPNIC(Asia Pacific Network Information Centre)、ARIN(American Registry for Internet Numbers)、RIPE NCC(Réseaux IP Européens Network Coordination Centre)、LACNIC(The Latin American and Caribbean IP address Regional Registry) 、AFRINIC(African Network Information Centre)の五つがあり、すべてのRIRで逆引きDNSSECの登録サービスが提供されています。

APNIC、ARIN、RIPEの3組織では、当日の逆引きDNSのゾーン情報が公開されており、該当3組織についてはそちらを元に状況を確認し、必要に応じて問い合わせを行いました。

APNIC、ARIN、RIPE管理のネームサーバにおけるゾーン情報
APNIC : ftp://ftp.apnic.net/public/zones/
ARIN : ftp://ftp.arin.net/pub/zones/
RIPE : ftp://ftp.ripe.net/pub/zones

具体的には、DNSSECの仕組み上、あるゾーンに対してDNSSECを有効にする場合、親ゾーンに対して、子ゾーンの公開鍵から計算されたDS(Delegation Signer)レコードを登録する※1のですが、各RIRの管理するネームサーバに、どのくらいDSレコードが存在するのか調査を行いました。

なおDNSの運用上は、冗長性のために一つのゾーンに、複数のネームサーバおよび複数のDSレコードを登録することができるのですが、今回の調査においては、あるゾーンに対して一つ以上のDSレコードが登録されているものがあった場合、1件としてカウントを行いました。

例:APNICのゾーン(28.12.202.in-addr.arpa.) の場合
28.12.202.in-addr.arpa. NS cumin.apnic.net.
28.12.202.in-addr.arpa. NS tinnie.apnic.net.
28.12.202.in-addr.arpa. NS tinnie.arin.net.
8.12.202.in-addr.arpa. DS 38468 5 1( 0D9C9BFFBBD1BF43022BA374B2CE623470B33565 )
28.12.202.in-addr.arpa. DS 38468 5 2( 85AA2B48F1C2B7556337FF019EC1C420F699599E310FE619E1D7BD78F3209189 )

この場合、28.12.202.in-addr.arpa. というゾーンに対して、三つのネームサーバ、二つのDSレコードが登録されていますが、このゾーンについては、DNSSECが有効になっているゾーンが1件ある、としてカウントしました。

なおAFRINICにおいては、逆引きDNSSECの利用状況について、公開されている情報はあったのですが※2、APNIC 38ミーティングの時点では公開情報が最新のものではなかったので、個別に照会しました。LACNICは、他のRIRのようにはDNSSEC適用ゾーンの情報を公開しておらず、こちらも個別に問い合わせました。

各RIRにおける逆引きDNSSECの登録状況

このように調べた結果、APNICの場合は405,818のゾーンに対して、それぞれDSレコードが一つ以上登録されているものが184件、ARINの場合は486,403のゾーンに対して457件、RIPEの場合は667,460のゾーンに対して1,254件、AFRINICの場合は28,188のゾーンに対して20件のDSレコードがある、ということがわかりました。LACNICについては件数の分母が不明であるものの、およそ4〜5個のゾーンでDNSSECが有効になっている旨の回答がありました。

また、組織数単位についても可能な範囲で確認したところ、APNICの管理下では16組織が逆引きDNSSECを登録しており、ARINの管理下では91の組織が登録しているということでした。RIPEについては確認できなかったため、組織数単位での登録数は不明です。

なお、1ゾーンあたりどのくらいの数のDSレコードの登録があるのかについても、可能な範囲で確認しました。DSレコードは冗長性のため複数登録することが想定されており、同じ鍵についても、ダイジェストを生成する方式についてSHA-1かSHA-256かの二つの方式があります。

APNICの個別のゾーンを確認したところ、APNIC管理下では最大で二つのDSレコードが登録されており、それぞれダイジェストの型において、SHA-1かSHA-256かが異なっていることがわかりました。また、AFRINICにおいては、多い場合は1ゾーンに四つのDSレコードが登録されている傾向があり、四つの内訳としては、二つの異なる鍵について、それぞれ二つのダイジェストの型で登録されているようでした。

DNSSECの検証を有効にしたクエリの統計

APNICに、その他DNSSECに関する統計調査を実施しているか確認したところ、以前から継続して調査を実施しており、対外的に発表することもあるとのことでした。ちょうどAPNIC 38でのAPOPS(Asia Pacific OperatorS Forum)で、Geoff Huston氏が関連の発表※3を実施しており、それによると、APNICの調査対象のサーバに対して、11.5%のクライアントがDNSSECの検証を有効にして、DNSのクエリを送信している統計があるとの共有がありました。

逆引きDNSSEC登録におけるJPNICおよびAPNICのシステムの連携方式

また、JPNIC管理下におけるIPアドレスの逆引きについて、DNSSECを有効化する場合のJPNICおよびAPNICのシステムの連携方式も、詳細を確認しました。JPNIC管理下のIPアドレスには、(1)APNICのネームサーバがゾーンの委任を行っているものと、(2)JPNICのネームサーバがゾーンの委任を行っているものという、2種類のゾーンがあるのですが、(1)の場合については、ユーザーから登録申請のあったDSレコードを、そのままJPNICがAPNIC連携用のシステムに渡せば、APNICのネームサーバにて署名をすることが可能であることを確認しました。なお、(2)の場合については、JPNICのネームサーバ上で署名を行う必要があるのですが、こちらは別途、実装の方式を検討しています。

これらの検討の状況等につきましては、適宜、皆さまとも共有していきたいと考えています。

(JPNIC 技術部 澁谷晃)


※1 インターネット10分講座「DNSSEC」
https://www.nic.ad.jp/ja/newsletter/No43/0800.html
※2 AFRINICのDNSSECに関する統計
http://www.afrinic.net/en/initiatives/dnssec/dnssec-stats
(注:本稿執筆時点では、2014年9月16日のデータとして公開されている統計があり、筆者からの照会と前後して更新されたものと思われます)
※3 Geoff Huston(APNIC) - DNSSEC validation: What if everyone did it?
https://conference.apnic.net/data/38/2014-09-16-dns-measure_1410315749.pdf

このページを評価してください

このWebページは役に立ちましたか?
よろしければ回答の理由をご記入ください

それ以外にも、ページの改良点等がございましたら自由にご記入ください。

回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2024 Japan Network Information Center. All Rights Reserved.