Tweet

DNS管理者はDNSSECへの対応と理解を

JPRS、2010年をめどにJPドメイン名サービスへDNSSECを導入

2009/07/10

　日本レジストリサービス（JPRS）は7月9日、JPドメインに対し、DNSのセキュリティ拡張方式であるDNSSEC（DNS Security Extension：DNSセキュリティ拡張）を2010年中に導入する予定であることを発表した。DNSサーバ管理者やJPドメイン名指定事業者に向け、DNSSECの導入と普及に向けた活動を本格化する。

　ドメイン名をIPアドレスに変換するDNSは、IPネットワークの基本技術として利用されている。2008年7月にダン・カミンスキー氏が「DNSキャッシュポイズニングの脆弱性」を指摘したことにより、DNSにもセキュリティ対策を施すことが急務となっていた。この対策として、ゾーン情報の信頼性を保証する拡張を含めたDNSSECが有望視されていた。

　DNSSECはゾーン情報の信頼性を確保するために、ゾーン情報のハッシュ値を公開鍵暗号方式で暗号化し、署名として添付する。これをDNSクライアントで同様の方法により算出したハッシュ値を比較し、改ざんが行われていないことを確認する方式。DNSサーバの再インストールと鍵管理の作業が発生するとともに、ハッシュ値情報の追加により、トラフィックが増大することが懸念として挙げられる。

DNSSECの仕組み（「次世代のセキュリティ拡張DNSSECをBIND 9で実現」より）

　JPRSは、この方式がDNSの脅威に対して最も実現性が高く、有効な解決策であるとし、DNSSECの導入について研究開発を行ってきたという。JPRSはDNSSEC普及に向け、JPドメイン名サービスへDNSSECを導入するための仕様検討と試験を進めるとともに、DNSを運用する関係者へ協力を求めていく。