恒例の「DNS DAY」、話題の中心はDNSSEC


 秋葉原コンベンションホールで開催中の「Internet Week 2009」で24日、DNS関連の最新情報を共有するためのセッションとして恒例になっている「DNS DAY」が行われた。

 日本DNSオペレーターズグループ(DNSOPS.JP)代表の石田慶樹氏の司会で始まった同セッションでは今回、近い将来に導入予定のDNSSEC(DNS Security Extension:DNSセキュリティ拡張)が話題の中心となった。

増加する負荷と、ますます重要になる管理・運用

 セッションの前半は、日本のDNSの1年間を振り返る「DNS関連動向Update」。最初の発表者である日本レジストリサービス(JPRS)の高嶋隆一氏からは、JPドメイン名のDNSである「JP DNS」の状況として、クエリ(名前解決の要求)が従来同様に増加傾向にあることなどが報告された。


司会を務めた日本DNSオペレーターズグループ代表の石田慶樹氏(左から)JPRSの宇井隆晴氏、JPNICの小山祐司氏、JPRSの高嶋隆一氏

 また、社団法人日本ネットワークインフォメーションセンター(JPNIC)の小山祐司氏からは、IPv4アドレスの割り振り状況や「lame delegation」と呼ばれる誤ったDNSの設定状況などに関する報告が行われた。IPv4アドレスの割り振りは増加しており、その在庫が少なくなってきていること、「lame」となっている設定の割合が減少してきていることなどがグラフを使って視覚的に示された。

 JPRSの宇井隆晴氏からは、国際化ドメイン名(IDN)の動向などに関する報告が行われた。国や地域に割り当てられたccTLDに対応する「IDN ccTLD」については早期導入を目指して進められているが、gTLDに関しては課題が多く検討が難航していることなどが伝えられた。


クエリの増加傾向を示すグラフ図IPv4アドレスの割り振り状況

「lame」になっている設定の割合ICANNでの「IDN ccTLD」の動き

 NTTコミュニケーションズの濱口一真氏からは、ISPにおけるエンドユーザー用キャッシュDNSサーバーに関する課題が報告された。それによると、IPv6アドレスやDNSSECの導入によるクエリは確実に増えており、キャッシュDNSサーバーの増強は避けられない。しかし、どのくらいの負荷増になるかが読めないため、クエリの傾向を敏感にキャッチして計画的な設備設計に結び付けなければいけないなどとした。

 インターネット総合研究所の伊藤高一氏からは、この1年のDNSサーバーソフトウェアに関する総括が行われた。続く慶應義塾大学大学院の加藤朗氏からは、DNSSECが及ぼすルートサーバーへの影響や、その導入予定などが示された。


(左から)慶應義塾大学大学院の加藤朗氏、インターネット総合研究所の伊藤高一氏、NTTコミュニケーションズの濱口一真氏IPv6アドレスやDNSSEC普及期におけるキャッシュDNSサーバーへの影響

 今回のこうした話題はDNSサーバーの管理・運用に直結するものが多かったためか、会場からは「クエリを分析するのに効果的な方法は?」「具体的な情報は無いのか?」といった、さまざまな質問や提言が行われた。

DNSSECに対する関心の高まり

 DNSキャッシュポイズニングの脆弱性を突く、昨年の「カミンスキーアタック」問題以降、DNSの安全性を高める方法が模索されてきた。その中で浮上してきたのがDNSSECである。一方で、DNSSECの歴史は古く、1990年台前半にはその検討が開始されている。DNSSECとは、従来のDNSとの互換性を維持しつつ、DNS応答の出自を保証し、改ざんが無いことを検証できる仕組みだが、その運用は決して簡単なものではない。しかし、現状でDNSキャッシュポイズニングを防ぐことができる唯一の解としての期待も大きい。

パネルディスカッション「DNSSECがやってくる」

 セッションの後半では、JPドメイン名が2010年に導入予定のDNSSECに対応するために何を準備し、どう取り組まないといけないかをテーマとした「DNSSECがやってくる」が行われた。石田氏が司会を務め、JPNICの前村昌紀氏、JPRSの民田雅人氏、インターネットイニシアティブ(IIJ)の松崎吉伸氏、NTTPCコミュニケーションズの高田美紀氏が説明を行っている。

 まず、前村氏が「DNSSECをとりまく状況」として、DNSの仕組みからDNSSEC導入の背景、現状と課題などを総括して説明した。

 続いて、民田氏がJPドメイン名サービスへのDNSSEC導入を説明。2010年度中にDNSSECを導入する予定であること、それに伴う課題の検討や検証について語った。DNSの応答パケットが非常に大きくなることに伴うトラフィックの増大、UDPのフラグメントを正しく扱えない通信路が存在する、TCPにフォールバックできない運用の存在、キャッシュDNSサーバーへの負荷、署名のために鍵を使うことによる複雑化――などの課題が示された。また、JPRSではDNSSEC化した仮想のDNSツリーを用意して各種テストを実施しており、その結果をある程度まとまった段階で公開する旨などが報告された。

 松崎氏の説明は、キャッシュDNSサーバーへのDNSSEC導入について行われた。そこでは、導入自体は簡単だが、エラー対応が難しくなるということを指摘。これは、DNSSECで検証結果がエラーになったときには単に「SERVFAIL」が返るだけなので、それが本当に検証エラーなのか単なるエラーから起きたものなのかをユーザー側で判断できないということを言ったものだ。結果として、エラー時には権威DNSサーバーの管理者との協力体制が必要になったり、ユーザーサポートがより一層重要になるということを示した。

 高田氏の説明は、権威DNSサーバーへのDNSSEC導入について行われた。そこでは鍵の管理や更新、ゾーンへの署名にかかるコストなどが無視できないことなどが説明された。また、ユーザーに提供するコントロールパネルをどうするかや、検証失敗時の問題切り分けなどの現実的な課題にも言及している。


JPRSの民田雅人氏JPドメイン名のDNSSEC化について

DNSSECの導入に向けてユーザーはISPを選ぶことが重要になる

 パネリストの説明が一通り終わったところで議論に移ったが、会場からはいくつか突っ込んだ質問も出された。また、DNSSECに関する活動を本格化するにあたってJPRSなどに対するリーダーシップを期待する声も上がるなど、DNS関係者にとってDNSSECの導入が大きな影響を与えることを実感する内容となった。

 なお、このセッションの最後で石田氏より、DNSSECの導入・普及に向けた「DNSSECジャパン」の設立が発表された。


関連情報


(遠山 孝)

2009/11/25 20:46