イベントレポート
Internet Week 2015
DNSのクエリからIPv6の普及が見える/大規模な権威DNSサーバーの運用が規律の対象に ほか~「DNS DAY」の話題から
(2015/11/27 11:00)
インターネット関係者が一堂に会する「Internet Week 2015」で19日、恒例となっている「ランチセミナー」と「DNS DAY」が開催された。今年のDNS DAYは去年に引き続きセキュリティに関連した話題が中心となったが、その中からいくつかの話題をピックアップしてレポートする。
DNSのクエリからIPv6の普及が見える
DNS DAYの第1部「DNS Update」は、この1年間のDNS関連情報をまとめるものである。今回注目すべき点の1つは、IPv6クエリの増加がグラフとしてはっきりと目に見える形で現れたということであろう。その背景には、AppleのiOSのようにIPv6を積極的に使おうとするOSが普及してきたことや、Happy Eyeballs(*1)のようにIPv4とIPv6のうち通信状態の良い方を優先する仕組みの登場などが挙げられる。
株式会社日本レジストリサービス(JPRS)の堀五月氏からは、a.dns.jpというJPドメイン名の権威DNSサーバーの1つに到達したIPv6クエリの比率が示された(図1)。これを見ると、2015年に入ったころからIPv6で配送されたクエリの比率が大きく伸びてきているのが分かる。これは、JPドメイン名全体に対する問い合わせの比率と考えてよい。
一方、ユーザーが使用するキャッシュDNSサーバー側からは、NTTコムエンジニアリング株式会社の西岡孟朗氏よりAAAAレコード(IPv6)の問い合わせが2006年と比較して4倍以上に増加しているというデータが示されている(図2)。
IPv6の普及を目で実感する機会は少ないが、このようなグラフを見ることで時代の変化を感じることができるのではないだろうか。
また、西岡氏からはキャッシュDNSサーバーに到達する総クエリ数が2006年と比べて10倍弱に増えており、現在も急速な増加傾向にあるとのデータも示された(図3)。スマートフォンやタブレットの普及による端末数そのものの増加や、ウェブブラウザーなどでのDNSプリフェッチ機能の実装などにより、利用者1人当たりのクエリ数が急増している傾向が見て取れる。
他の話題としては、DNSSECに関することと、新gTLDに関するものがあった。DNSSECについては順調に普及しているが、検証(バリデーション)に関してはまだまだなことが報告されている。新gTLDについては、まだまだ利用度が低いこと(総クエリの約0.03%、図4)、クエリ全体の95%は.comや.jp、.net、.orgに対するものであること(図5)などが示されている。
(*1)RFC 6555で標準化されており、通信開始当初からIPv6とIPv4の両方のプロトコルを用いて通信先との接続を試行し、先に接続に成功した方のプロトコルから得られた結果を使用するということを行う。
大規模な権威DNSサーバーの運用が規律の対象に
第2部の「ホットトピックス」からは、総務省データ通信課の金坂哲哉氏による「DNSの信頼性等確保に向けた制度整備」と、JPRSの藤原和典氏の「DNS privacy」を取り上げる。
金坂氏による「DNSの信頼性等確保に向けた制度整備」を簡単にまとめると、ccTLDおよび地理的名称gTLDのレジストリに加え、大規模なDNSホスティングサービスを行っている事業者を電気通信事業法の適用対象とするということになる。これは、新gTLDの開始によりノウハウの少ない新たなレジストリオペレーターが参入してくることなどを背景として、インターネットにとって重要なDNSサーバーの事故対策が必要になったことが理由であることが述べられた。
法改正は、DNSサーバーの信頼性等の確保を目的とし、DNSのサービスがこれまで民間主導で提供されてきたことを踏まえて、サービスを定義し、信頼性および適正性・透明性に関することを必要最小限度の規律で定めるとのことである(図7~10)。ただし、実質的な詳細は省令で別途規定されるという点には留意すべきであろう。
今回の法改正では、キャッシュDNSサーバーは対象から除外されている(*2)。この詳細について興味がある方は総務省のページをご覧いただくのが良いと思うが、すでに法改正が行われ、詳細については省令で別途定めることになっており、現在はパブコメが始まっている段階である(図11)。
(*2)電気通信回線設備を設置する電気通信事業者と総務大臣から指定を受けた電気通信事業者が運用するキャッシュDNSサーバーは、すでに信頼性に関する規律の対象となっている。
DNSの動作説明に影響するかもしれない変更点
藤原氏による「DNS privacy」は、その名の通りDNSにおけるプライバシーをどうするかという問題である。2013年に起きたエドワード・スノーデン氏による告発で政府による盗聴が発覚したことから始まったこの問題は、IETFで問題提起されさまざまな議論が行われている。藤原氏の報告は、こうした活動を整理しまとめたものだ。
なぜ、DNSでプライバシーが問題になるのかは、DNSのクエリが持つ情報を収集し分析すればいろいろなことが分かるからである。キャッシュDNSサーバーに到達するDNSのクエリを見れば、誰(IPアドレス)が、いつ、何を見ようとしたかが分かってしまう。
現在の議論では、通信路の暗号化やクエリから漏えいする情報を最小化することが進められている。しかしながら、ここでの関心はクエリから漏えいする情報を最小化するという部分であろう(図13~15までの「クエリ情報漏洩の最小化」とした一連の図)。
これまでのDNSでは、例えば「www.example.jp」というドメイン名の名前解決をする際には、キャッシュDNSサーバーは、ルートサーバーにも、(.jpのゾーンを管理している)JP DNSにも、example.jpゾーンを管理している権威DNSサーバーにもすべて「www.example.jpのAを教えて」というクエリを渡していたのである。しかし、図15の動作例を見ると分かるように、クエリ情報漏えいの最小化をする際には、キャッシュDNSサーバー(Full-resolver)は相手によって問い合わせる内容を変えることになる。
具体的には、キャッシュDNSサーバーは、ルートサーバーに対しては「.jpのゾーンを管理している権威DNSサーバーを教えて」という問い合わせを行い、JP DNSに対しては「example.jpのゾーンを管理している権威DNSサーバーを教えて」という問い合わせを行うことになるのである。これは、従来のDNSの動作と異なっている。
利用者から見た場合、これらの変更はさしたる意味を持たないかもしれないが、DNSを勉強しようと考えている場合には注意事項となってしまう。今後は両方が併存する形になるであろうから、異なる複数の動作例を目にすることになってしまうからだ。より正確な情報を得ようとするならば、例えばJPRSの技術サイトを見るとか、DNSに関連する最新情報を発信しているサイトを選んで見にいくといった対処が必要になるかもしれない。
「手を取り合う」は、インターネットやDNSの本質である
毎年、さまざまな話題を集中して取り上げているランチセミナーは、「重複で、手を取り合って、垣根を越えて―JPRSが発信する技術情報の概要とその心~ランチのおともにDNS~」であった。話者は、JPRSの森下泰宏氏と平林有理氏である。
「重複をお許しください」は、業界では有名なフレーズではあるが、そのメールが来るとDNSソフトウェアに修正を適用しなければいけなくなるなど、サーバー管理者の仕事が増えてしまうことになる。そのためか会場からは苦笑いのような声が出ていたが、それは、重複があることで不具合を迅速に修正することができるため感謝もされているという微妙な立ち位置があるからなのかもしれない。
今回の内容は、そうしたJPRSからの情報発信に関する詳細な解説である。JPRSが発信している情報には、図17に示されたようにさまざまな種類がある。
話の中では、この情報のそれぞれについて詳細な解説が行われた。その中で特に参考になるのは、どういう話(項目)をどう構成しているか、どういう点に注意を払っているかといった点だろう。
森下氏は、そのようにして情報発信する際に考えることは「本来の目的を達成できるか」であるという。また、自身の経験として若い方々へのリーチ不足や、必要とする情報を業界以外の必要な層には必ずしも十分に提供できていないということも意識しているという。
森下氏の言うように、「手を取り合う」はインターネットの、そしてDNSの本質であり、不可欠なことである。また、現在のようにインターネットが広範囲、かつ各分野に分化している状況では「(分野の)垣根を越える」ことが、とても重要になる。
インターネットを健全に発展させていくためにはさまざまな連携が不可欠で、多くの人々の協力がなければいけない。森下氏による「重複を始め、いろいろな視点・表現でメッセージを発信し続けていくので、よろしくお願いします」というメッセージに期待したい。
