Internet Week 2015 セキュリティセッション紹介 第9回「今日から始めるDNSSECバリデーション」についてJPRSの米谷嘉朗氏が語る | ScanNetSecurity
2021.06.20(日)

Internet Week 2015 セキュリティセッション紹介 第9回「今日から始めるDNSSECバリデーション」についてJPRSの米谷嘉朗氏が語る

「DNSSECを利用し、機能させるためには二つの要素が必要です。「名前を管理する人が対応すべきもの」「名前を参照する人が対応するもの」です。今回のチュートリアルは、後者の「名前を参照する人が対応するもの」にフォーカスを当てています。」

研修・セミナー・カンファレンス セミナー・イベント
「ルートゾーンの鍵交換はおおよそ5年に1度のイベントなので、この機に経験しておくと良いでしょう」と語るJPRSの米谷嘉朗氏
「ルートゾーンの鍵交換はおおよそ5年に1度のイベントなので、この機に経験しておくと良いでしょう」と語るJPRSの米谷嘉朗氏 全 1 枚 拡大写真
11月17日から11月20日にかけて、一般社団法人日本ネットワークインフォメーションセンター(JPNIC)主催の「Internet Week 2015 ~手を取り合って、垣根を越えて。~」が、秋葉原の富士ソフトアキバプラザで開催される。

「Internet Week」は、毎年11月に、計40近くものセッションが会期中に行われる、年1度の非商用イベントだ。インターネットやその基盤技術に関するエンジニアを主な対象に、最新動向やチュートリアルがある。

- Internet Week 2015
https://internetweek.jp/

連載で、このInternet Week 2015のセッションのうち、情報セキュリティに関するセッションの見どころ、意義、背景などを、セッションコーディネーターに語ってもらう。

9回目となる今回は、11月19日午前に行われるプログラム「今日から始めるDNSSECバリデーション」について、株式会社日本レジストリサービス(JPRS)の米谷嘉朗氏に語っていただいた。

--

――まずはDNSSECが何かを教えてください。

インターネットにアクセスする際に利用するドメイン名やメールアドレスを変換するのがDNSですが、そのDNSで安全に名前解決をするために、DNSをより安全な状態にするのがDNSSECです。そのためDNSSECは、「インターネットをより安全にするための技術」と言ってよいでしょう。

DNSSECを利用し、機能させるためには二つの要素が必要です。まず一つは「名前を管理する人が対応すべきもの」で、もう一つが、「名前を参照する人が対応するもの」です。DNSSECが機能するにはこの両方の対応が必要ではあるのですが、今回のチュートリアルは、後者の「名前を参照する人が対応するもの」にフォーカスを当てています。


――DNSSECの普及率はどうなんでしょうか?

DNSSECの普及率は、日本はまだ低いですが、海外では高いところもあります。一部のccTLDにおいてドメイン登録者側の状況を見ると、とても高い署名率を誇っています。というのも、海外では大手のDNSプロバイダがDNSSEC対応を進めてきているので、そのDNSサービスを使うユーザーは、特に意識しないでもDNSSECを使い始められるのです。こうした状況は、今後どんどん広まっていくでしょう。

こういう状況の下、「ドメイン名を参照し名前を解決する側」は、受け入れの準備さえしておけば、ドメイン名を登録する側が「安全なDNS提供のためにはDNSSECも提供するよ」ということになれば、すぐに使えるようになります。そのため、そうした状況を促進したいとも考え、今回のチュートリアルを企画しました。


――なるほど、これからDNSSEC導入の機運が高まっていくし、名前を参照する側は準備だけしておけばと良いということなんですね。どういう方にプログラムを一番聞いてもらいたいと考えますか?

キャッシュDNSサーバーを運用しているISPのオペレータや、企業にDNSの設定をし運用しているSIerの方に聞いてもらいたいですね。

また、今のタイミングはDNSSECの普及率が上がってきているということだけではありません。それに加え、DNSSECに関して近い将来に起こるもう一つの大きなイベントである「ルートゾーンの鍵交換」を控えた時期でもあります。これは5年に一度くらいで高頻度ではないのですが、この鍵交換に備えておくというのは2020年頃や、2025年頃にあわてずに済むというメリットがあります。DNSSECの普及率がまだそれほど高くない今であれば、DNSSECの検証=バリデーションの準備をしておき、このタイミングで待ち構えて経験を積むのは大変ではありませんが、5年後の状況はわかりません。そのため、将来に役に立つ良いタイミングであると言えるでしょう。

つまり、今ならDNSSECで署名されているサイト数もそこまで多くなく、名前解決する方でセットをしてもCPU等の資源をそこまで使わずに運用負荷も高くないため、早めの準備で準備万端にすることができます。

DNSSECの検証を始めると、それはそれで新しい運用ですので、やはりいくつかのトラブルも発生します。しかし、これはすでに想定されているものが多いです。今回のチュートリアルではそれも解説しますので、トラブルを恐れない知識を手に入れてもらいたいと考えています。


――確かにルートゾーンの鍵交換は大きなニュースですね。Internet Weekの時期がそれを学ぶのにちょうど良い時期と言えそうでしょうか。

ルートの鍵交換について、ICANN側からの方式の説明が出る時期なので、「ルートがこうやるのだな」というホットな情報をお伝えできると思います。またこのチュートリアルの準備や実行を通じて、ICANN側の準備に足りなそうなことに気づいたら、それをICANN側にフィードバックできる時期でもあります。


――そのように考えると、ICANN側のアクションにも影響を与えられるかもしれず、今年のInternet Weekのテーマ:「手を取り合って、垣根を越えて。」 とも良くマッチしているようにも思えます。

はい、その通りだと思います。また、先ほどにも言った通り、DNSSECは二つの要素、登録する側と使う側の二つが手を取り合わないと動かないものです。手を取り合って安全なネットワークを作っていくことが重要です。

DNSSECのバリデーションは何度も経験してきたことがあるという方も、今回はルートゾーンの鍵交換が大きなイベントとして控えているので、これを一緒に乗り越えたいですね。もちろん、基本的にはルートゾーンの鍵も自動的に交換はされる仕組みはあるのですが、実運用で交換がされたことがないため、本当にきちんと動くかどうかを心配しています。やはり、知識を持っていてもらうと安全だと考えていますし、今回の鍵交換を経験した人は、この先ずっと安心してDNSSECの運用ができるようになるのではないでしょうか。


――最後に、参加者にメッセージをお願いします。

安全は黙っていて手に入るものではなく、順次対応をしていかないといけないものです。インターネットのDNSを安全にすることはインターネットの安定性にも大きく関わることであり、特にISPのキャッシュサーバでDNSSECが検証できることはすなわち、その裏のお客さまを安全にできるので効果が大きいと考えています。

また今後、大規模なISPが検証を開始したという実績が見え始めるとに、周りにも署名する人が増えるでしょう。署名する側の意識も進んでいくし、DNSSECの普及のトリガーになります。現在、DNSSECについては「署名されないから検証しない、検証されないから署名しない」という鶏と卵の状態も見られています。こうした悪循環をなくしていきたいのが、今回のチュートリアルのもう一つの狙いです。多くの皆さまの参加をお待ちしています。


●プログラム詳細

「T5 今日から始めるDNSSECバリデーション」

- 開催日時:2015年11月19日(水) 9:30~12:00
- 会場:富士ソフト アキバプラザ
- 料金:事前料金 5,500円/当日料金 8,000円
- https://internetweek.jp/program/t5/

9:30~9:35
1) オープニング
米谷 嘉朗(株式会社日本レジストリサービス(JPRS))

9:35~9:55
2) DNSSECの概要
原田 めぐみ(株式会社日本レジストリサービス)

9:55~10:35
3) 既存リゾルバをDNSSEC対応に移行する方法
末松 慶文(九州通信ネットワーク株式会社)

10:50~11:20
4) DNSSECトラブルシューティング
講演者調整中

11:20~12:00
5) Root KSK(鍵署名鍵)更新に対応する方法
石原 知洋(東京大学)

※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  2. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  3. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  4. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  5. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  6. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  7. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  8. 病院向け情報管理システム OpenClinic GA に複数の脆弱性

    病院向け情報管理システム OpenClinic GA に複数の脆弱性

  9. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  10. Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

    Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

ランキングをもっと見る