横浜で開催された“Internet Week 2004”の最終日にあたる3日、DNS(Domain Name System)関係者を対象にした“DNS DAY”が行なわれた。このカンファレンスは、Internet Weekの主催者でもある(社)日本ネットワークインフォメーションセンター(JPNIC)によるもの。DNSはインターネットにおける重要な基盤技術のひとつで、その利用範囲も年々広がっている。DNSに関するトレンドをつかむことはインターネットの将来を知るうえで非常に重要となるため、今回はDNS DAY全体をレポートすることにする。
■“DNS Updates”
“DNS DAY”は、メディアエクスチェンジ(株)(MEX)の石田慶樹氏の司会進行により、DNS関連技術の最新動向を紹介する“DNS Updates”で始まった。
司会進行を務めたMEXの石田慶樹氏 |
最初の発表は、(株)日本レジストリサービス(JPRS)の白井出氏による“JP-DNS Updates”。日本のドメイン名である“.JP”を管理・運用するJP DNSに関する情報を中心に、DNSサーバーへのアクセス分析や信頼性向上への取り組みなどについて説明が行なわれた。JPドメイン名は世界で初めてIPv6に対応するなど積極的な展開を行なっているが、こうした報告を聞くと、その実現には背後でさまざまな努力が日々行なわれていることを実感できる。
続いて行なわれたのは、WIDEプロジェクトの加藤朗氏による“M-ROOT-SERVER Update”。最近になってルートDNSサーバーの能力改善の動きが急ピッチで進んでいるが、そのきっかけとなったのは2002年10月22日に発生したルートDNSサーバーに対するDDoS攻撃であったこと、2003年に入ってからは“Anycast(エニーキャスト)”と呼ばれる技術が積極的に使われていることなどが伝えられた。また、IPv6に関して、ルートDNSサーバーへのIPv6の登録状況や、残る課題のうち、特にDNSが使用するパケット長の問題のために時間がかかっていることなどが報告されている。
WIDEプロジェクトの加藤朗氏 |
3番目の発表として行なわれたJPRSの民田雅人氏による“ネームサーバは内部名で”は、ちょっとした議論を巻き起こした。この内容はDNSの設定に関する技術的話題だが、権威ネームサーバーの設定がある条件を満たした場合、エンドユーザーのリクエストを処理する(キャッシュサーバーと呼ばれる)DNSサーバーの種類によっては、その不具合により最悪の場合ドメイン名検索ができなくなるというショッキングな内容であったことがその理由である。
具体的には、“BIND 8.2.7”までの“BIND 8”をキャッシュサーバーに使っているときに、あるドメイン名を検索中にグルーなしが2段以上続く場合に当該ドメイン名の検索が不能になるというものだ。例ではJPドメイン名が使われているが、たとえばCOMドメイン名を使っていても、そのDNSサーバーをNETドメイン名で設定している場合などでは同様に発生する。
民田氏によると、この問題はたまたま発見したもので、“BIND 9”や他の実装ではこうした問題は発生しないとしながらも、会場からはプロバイダー関係者を中心に質問や要望が相次いだ。この件に関する情報は、JPRSの技術サイト“DNS関連技術情報”などで公開していくということなので、DNS関係者は可能な限り目を通すようにしたほうがいいだろう。
JPRSの民田雅人氏 |
民田氏の発表のあと、休憩をはさんで(株)インターネットイニシアティブ(IIJ)技術研究所の長健二朗氏による“DNS Global Measurement”が行なわれた。この内容は、ルートDNSサーバーを対象としたDNS計測の目的や、その活動、計測ツールについて紹介したもの。FルートDNSサーバーで行なわれた解析結果の数字を出し、約45%がDNSレベルでの再送で、リプライがファイアーウォールでフィルターされることなどにより応答が返らず、結果としてクライアントがリクエストを出し続けることが原因といったことや、正しいと思われるリクエストはたったの2.2%しかないことなどが紹介された。
IIJ技術研究所の長健二朗氏 |
JPRSの米谷嘉朗氏は、“DNS関連技術の最新動向”という題でさまざまな話題を紹介した。現在ではDNSをベースとした新しい技術が数多く提案され、この傾向は今後も加速すると考えられているため、今後のインターネットの発展を予測するうえでもこうした話題を押さえておくことは重要だ。
最初の技術は、“国際化ドメイン名(IDN)”。すでに日本語ドメイン名などでおなじみの技術だが、利用にあたってはユーザー側でIDNに対応したアプリケーションが必要になる。現時点ではメジャーなウェブブラウザーのうちInternet Explorerのみが『i-Nav』といったプラグインを必要とするが、NetscapeやMozilla、Firefox、Opera、Safariでは最新版で標準対応していることが紹介された。今後普及が加速する技術のひとつと考えられる。
次に紹介されたのが、“ENUM(Telephone Number Mapping)”だ。ENUMとは、技術的には“E.164番号”と呼ばれる国番号付きの電話番号を使い、その番号に対応付けられるサービスのURIを登録し参照する仕組みだが、この技術を使うと番号ポータビリティーや、さまざまなプロバイダーが提供するIP電話やインターネット電話などをインターネット上でひとつにつなげることが可能になる。現在、“ENUMトライアルジャパン(ETJP)”などで技術的検証を行なっていることなどが説明された。
“IPv6”については、世界的な対応状況として、今年の7月にJPドメイン名が初めて対応して以降、COMドメイン名やNETドメイン名などでも対応し始めていることなどが紹介された。
“DNSSEC(DNS Security Extension)”は、DNSの情報を悪意ある第三者から守るための技術だ。基本的な仕組みは、公開暗号鍵などを使用し、自らのゾーン情報に秘密鍵で署名を行なうことにより、第三者による改ざんやだましを検証できるようにする。プロトコルを含め、基本的な部分はほぼ策定され、いくつかの課題を解決するためにIETFなどで議論を重ねている段階にあることが説明された。DNSは、ENUMや後述する迷惑メール対策などさまざまな場面で利用されるようになるため、こうしたセキュリティーに関する技術はますます重要になるだろう。
“SPF/DomainKeys”は、スパム(SPAM)対策などのために、メール発信者の認証をDNSを使って行なおうとするものだ。メールを送る側が差し出し元のドメイン名とIPアドレスをDNSに登録し、メールを受け取る側は発信元を調べて情報が一致しなければ受け取りを拒否する。最有力と言われた“MARID”と呼ばれた方式が頓挫し、現在ではいくつかの複数の提案が行なわれていることと、その概要が紹介された。
“ONS(Object Name Service)”は、無線ICタグ(RFID)など、“EPC(Electric Product Code)”に関連する情報を提供するサービスの所在をDNSを使って示そうとするものだ。ここでは簡単に、現在の最新仕様や課題が紹介された。
“IP Anycast”は、負荷分散や耐障害性の向上を目的として生まれた技術だ。経路制御と組み合わされるこの技術は、現在ではルートDNSサーバーやJPなどで積極的に使われていることなどが紹介された。
JPRSの米谷嘉朗氏 |
■“Practical Cache Server Operation”
午後最初のセッションは、Practical Cache Server OperationとしてキャッシュサーバーやDNSのトラフィック分析などの話題が紹介された。
最初に登場したのはIIJの山本功司氏。キャッシュサーバーの運用に必要な知識を、会社での運用経験を基に説明した。キャッシュサーバーの安定性はユーザーがインターネットを使えるかどうかに直結するため、安定性が強く求められること。パソコン(PC)の性能向上などにより、ブロードバンドに接続された1台のパソコンが1秒間に1万以上のリクエストを生成することが可能なため、悪意がなくても結果としてDoSになる可能性があること。BINDの問題点などについて説明が行なわれた。
続いて、エヌ・ティ・ティ・コミュニケーションズ(株)の大島治彦氏が、インターネットの普及により増大する一方のキャッシュサーバーの負荷、増え続ける正常・異常の“DNSリクエスト(Query:クエリー)”に対する問題をどう解決するかを、“量と質、様々なQueryに対応するには”として説明した。大量のQueryの検知と対処、ドメイン名を管理する権威ネームサーバーとの関係と対処、キャッシュサーバーのスケーラビリティーという3つの切り口を通して、キャッシュサーバーの大切さ、自分の身は自分で守ること、Queryの中身にも敏感になるようにとまとめている。
■“インフラとしてのDNS”
DNS Dayの最後のセッションは、“インフラとしてのDNS”と称してDNSで取り扱うコンテンツの信頼性/真正性をどのように確保していくべきかというテーマで、JPRSの藤原和典氏による発表のあと、続いてパネルディスカッションが行なわれている。
JPRSの藤原和典氏の発表は、“Contentsを守るには(DNSSEC)”としてDNSSECに関する話題を説明したもの。DNSの動作とDNSへの攻撃から、従来のDNSは応答の正しさを検証する手段がないことを説明し、DNSSECの必要性を示した。特に、このセッションが行なわれた会場に限定した無線ネットワークを使って、盗聴型と呼ばれる方法で嘘の応答を返すデモは圧巻だった。ウェブアクセスでどこを指定しても、このデモのために特別に用意されたサイトに誘導されてしまう。言葉で百を説明するよりも、1回の実演がどれほど大きな説得力を持つかを実感させられた。
また、藤原氏は手元でDNSSECの運用実験ができる環境が整ったこと、現在のDNSSECは技術的に運用可能であり、これからの展開をどうすべきか考える時期に来ていることを述べている。
JPRSの藤原和典氏 |
最後のパネルディスカッションは、“インフラとしてのDNSとCritical Contents”としてMEXの石田氏がモデレーターを務め、パネリストとして有限責任中間法人 JPCERTコーディネーションセンター(JPCERT/CC)の水越一郎氏、JPRSの藤原氏、NTT Comの大島氏の3名が壇上に上がった。
このパネルでは、商取引や個人情報にかかわるIPアドレス、電子メール送信者の認証、電話番号(ENUM)といった現実社会の識別子などをドメイン名に関する重要度の高いデータとし、より粒度が細かい実体のデータがやりとりされることに対してどのようにDNSを守り、必要なサービスを提供していくかといった点で議論が行なわれ、会場からも積極的な発言や要望が寄せられた。
パネルディスカッションの様子 |
インターネットは、いまや社会に無くてはならない重要な基盤のひとつとなった。さらに、DNSはインターネットにおける唯一の名前解決手段である。今回の取材を通じ、普段はさほど意識していない部分でこれほどまでに盛んな活動が行なわれていることをあらためて実感することができた。縁の下の力持ちと言っては失礼かもしれないが、我々が普通にインターネットを利用することができることを彼らに感謝すべきだと素直に感じたことを明かしておく。