ISP等のDNSSEC対応におけるDPS作成・公開の検討

DNSSEC ジャパン 運用技術 WG

1. はじめに

1.1. 本文書について

DNSSECジャパン運用技術WGは、ISP等(*)がそのDNSサービスにおいてDNSSEC対応を行う際、DPSを公開することに利点があると考えている。しかし一方では、ISPが現状でDPSを公開するにはいくつかの課題も存在する。本文書ではこの認識を示しつつ、今後のアクションについて提案を行う。
(*)この議論ではDNSホスティングプロバイダなどを含むものとする

1.2. 注意事項

  • 免責事項
  • 本ドキュメントは保証されたものではない。下記Webサイトの免責事項を確認のうえ、本ドキュメントを使用して頂きたい。

    http://dnssec.jp/?page_id=16

  • 問合せ先
  • 本ドキュメントに関する改善点などのコメントは下記事務局まで連絡いただきたい。
    DNSSECジャパン事務局 <sec@dnssec.jp>

2. DPSとは

DPS(DNSSEC Practice Statement)は、DNSSEC運用者が、その運用の考え方、方式、手順などを記述する文書である。本文書執筆時点で、IETFにおいてDPSのフレームワークに関する検討が完了しつつある状況であり、以下のInternet-Draftに仕様が纏められている。

また、DPSに関する参考情報としては、社団法人日本ネットワークインフォメーションセンター(JPNIC)主催で行われた「DNSSECセミナー ~組織におけるDNSSECの姿~ 」( http://www.nic.ad.jp/ja/materials/tech/ )における

の講演資料が公開されている。DPSに関する情報源として参照されたい。

2.1. ISPがDPSを公開する利点

WGは、下記の点から、ISPがDPSを作成・公開することにメリットがあると認識している。

  • セキュリティレベルの可視化/透明性の確保
  • 現在は、技術において先進的な事業者がパイロット的にDNSSEC運用を開始しているフェーズであり、実質的なセキュリティの確保よりも新技術の展開に重きがおかれている。しかし、今後はその本質から、DNSSECにおける実質的なセキュリティの確保が望まれることが想定される。商用サービスにおいては、DNSSEC対応におけるセキュリティレベルを可視化し、ユーザに対して透明性を確保する必要がでてくるだろう。このためにDPSを公開することが役立つ。

  • 運用方針の客観的なチェック/サービス品質の一定化
  • セキュリティの確保においては、客観的な検討・評価が行われるべきであり、組織ごとの事情のみを重視して判断を行うべきではない。DPSを作成する際に検討が必要となる諸項目は、このための客観性・多角性を十分に与えるものである。また、一旦DPSを作成しておけば、運用レベルの指標ができるため、提供するサービスの品質を一定に保つことができる。

2.2. ISPがDPSを公開するための課題

一方でWGは、現時点でISPがDPSを作成・公開するにあたり、以下のような課題が存在すると認識している。

  • 認知不足
  • 国内ISPにおけるDPSフレームワークへの認知が不足している。このため、DPS検討必要性の意識が持たれる素地が少ない。

  • コミュニティの違い
  • DPSの構成はPKIにおけるCPS(Certification Practice Statement)を雛形とするものであり、認証ビジネスを展開するコミュニティの発想・感覚に基づいている。一方、DNSSEC対応を行うISPは一般にDNSに関するエキスパートであるものの、必ずしもPKI的な発想に通じているわけではない。

  • 記述レベルの難しさ
  • PKIコミュニティの感覚を背景にできる場合でも、DPSとCPSは異なるものである。ここで、フレームワーク自体の設計が完了しきっていないなか、実際には限定的なDPSが存在するのみである(特にISPが書いたものはほとんどない)。このためISPは、適切なリファレンスを持たないまま、自らがDPSの記述レベルを定めなければならない。

  • コスト回収の困難さ
  • 単独の組織体においてDPSフレームワークに習熟した要員を手配し、適切に記述レベルを設定した上でDPSを作成・公開することは、作業コスト回収の観点で困難である。

3. 今後のアクション

WGでは、DNSSECにより解決できるDNSの潜在的脆弱性を真に解決するために、今後、商用サービスを提供するISPにおいて、DPSフレームワークに基づくDNSSEC対応が行われることがポイントになると考えている。

上述の課題を考慮しつつ、ISPがこのような対応を行える基盤を整えていくためには、

  • ISPとPKIサービスの提供者が一同に介する形で参加できる検討の場を設定する。
  • その場において、これまでは主にドメインレジストリで培われてきたDPS作成ノウハウを、これら参加者が一体となって解釈/アレンジする。
  • 上記活動で得られた解釈に基づき、ISPがリファレンスとすることのできるISP版DPSの雛形を作成し、コミュニティに公開する。

というアプローチが効果的と考える。

今後、関連コミュニティにおいてWG参加者が核となり、上記アプローチに基づく形でISP版DPSの雛形を作成することを提案したい。

以上


印刷用: (pdf形式, 150kB, 4p)