DNSの今後はどうなる?
インターネットが経済活動や日々の生活に大きくかかわるようになってきたことにより、その安定性や安全性に関する要求は日増しに強くなっている。特にDNSには、インターネットを支える基盤技術として、そのサービスレベルをどのように上げていくかが大きな課題として横たわっている。
少し話が逸れるが、DNSのレスポンスや安定性はドメイン名ごとに異なるということはご存知だろうか。ルートサーバを頂点として、次に来るのがトップレベルドメイン名を管理する権威DNSサーバである。このトップレベルドメインの権威DNSサーバを管理・運用しているのはそれぞれのドメイン名レジストリであり、決して同一の組織などではない。かつては、あるトップレベルドメイン名の権威DNSサーバが突然停止してしまい、何時間にもわたってそのドメインにアクセスできなくなるということもあったことを考えると、そのドメインのDNSサーバがどのような形で提供されるかは十分に吟味すべきだろう。
たとえば、.jpではaからfまで7つの権威DNSサーバが提供されているし、そのうちの6つにIPv6アドレスが割り当てられているが、(たまたま.jpの隣にあった)ケニアの.keを見ると3つの権威DNSサーバがあるのみで、しかも、そのうちの1つは南アフリカの.zaドメインのものになっているのだ(もちろん筆者としては、こうした運用はお勧めできない)。
話を元に戻すと、将来に渡ってDNSに要求されるのは、高い安定性や安全性である。そのために、増加するクエリに対しては権威DNSサーバやキャッシュサーバの増強を、UDP512バイト問題に対しては前述したEDNS0への対応やTCPフォールダウンのサポートをしていくことが求められる。もちろん、IPv6への確実な対応は必須になっていくだろう。
きちんと考えたいDNSのセキュリティ
また、セキュリティ問題に対しては新しい局面が出てくるかもしれない。2008年の夏に大きな話題となった「カミンスキーアタック」は、図らずもDNSプロトコルが持つ脆弱性と、その脆弱性を突いた場合の成功率と効果をあらためて示す形になったからだ。そのために、今後も「DNSプロトコル自体が持つ脆弱性を利用した攻撃手法」が生み出される可能性は十分にある。現在、対策としては、最新のパッチ(修正ソフト)の適用、およびサーバに到達するパケットの監視などが存在するが、さらに加えてDNSSEC(DNS Security Extensions)と呼ばれる「DNSのサービスを安全に提供するための拡張機能」の採用も視野に入れなければならないかもしれない。
DNSのサービスを提供するサーバとしては、ドメイン名のゾーンを管理する権威DNSサーバと、ユーザーのリクエストに応じて名前解決処理を行なうキャッシュサーバがあるが、狙われやすいのはキャッシュサーバのほうである。さらにいえば、キャッシュサーバの多くは十分な管理・運用がされていないことも多いのが実情である。そこには経営判断も入るが、今後は、そうしたサーバの管理を専門に扱う技術者の配置と育成を真剣に考えてほしい。たとえば、キャッシュサーバが悪意のある第三者に短時間でも利用されると、ユーザーに対して大きな被害を与えるかもしれないのだから。
おそらく、DNSに関していえば、技術的な大きなジャンプはいまのところないといえる。しかし、その代わりに、確実で丁寧な管理・運用をきちんと行なうことが何にも増して重要になる。そのためには、表面的ではない正しい理解をした技術者が欠かせないのだ。
その一方で、サイトを立ち上げたりする利用者側は今後、確実なDNSの管理・運用をしているところはどこかという調査をきちんと行ない、ドメイン名選択時の重要な条件のひとつとするようになるだろう。そのときに、後悔しないためにすべきことは目の前にある。
(次ページ、「効果的な情報収集をするために」に続く)
この連載の記事
-
第6回
ネットワーク
ますます高速化する有線と無線の伝送技術 -
第5回
ネットワーク
3年後にはIPv4アドレスが枯渇? -
第3回
ソフトウェア・仮想化
Atom登場が追い風となるLinux -
第2回
ネットワーク
Windows7とServer 2008 R2でなにが変わる? -
第1回
サーバー・ストレージ
群雄割拠が続くサーバ仮想化の将来 -
ネットワーク
インフラ&ネット技術の今と未来 - この連載の一覧へ
