DNSSECチュートリアル ~実践編~

Size: px
Start display at page:

Download "DNSSECチュートリアル ~実践編~"

Transcription

1 Internet Week 2010 S10 DNSSECチュートリアル ~ 実 践 編 ~ 民 田 雅 人 株 式 会 社 日 本 レジストリサービス Copyright 2010 株 式 会 社 日 本 レジストリサービス 1

2 目 次 DNSキャッシュへの 毒 入 れ DNSSECのしくみ DNSSEC 導 入 に 向 けて DNSSECの 鍵 と 信 頼 の 連 鎖 DNSSECのリソースレコー ド(RR) 鍵 更 新 と 再 署 名 BINDキャッシュサーバでの DNSSECの 設 定 鍵 生 成 と 署 名 作 業 BIND 権 威 サーバでの DNSSECの 設 定 スマート 署 名 (Smart signing) 全 自 動 ゾーン 署 名 DNSSEC 化 による DNSデータの 変 化 DNSSECのリスク まとめ Copyright 2010 株 式 会 社 日 本 レジストリサービス 2

3 DNSキャッシュへの 毒 入 れ Copyright 2010 株 式 会 社 日 本 レジストリサービス 3

4 DNSプロトコル DNSの 通 信 は 問 合 せと 応 答 の 単 純 な 往 復 この 名 前 のIPアドレスは? IPアドレスはXXXXだよ トランスポートは 主 にUDP 問 合 せパケット クエリ 名 + ID + etc... 応 答 パケット クエリ 名 + ID + 応 答 + etc... ID: 識 別 のための16bitの 値 キャッシュDNSサーバは 応 答 パケットを ソースアドレスとポート クエリ 情 報 ID で 識 別 条 件 が 一 致 すれば 応 答 パケットを 正 しいと 判 断 Copyright 2010 株 式 会 社 日 本 レジストリサービス 4

5 偽 装 応 答 型 による 毒 入 れ なんらかの 手 段 を 使 い 本 来 の 応 答 より 先 に 偽 装 応 答 をキャッシュサーバに 送 り 込 み 偽 情 報 を キャッシュさせる 手 法 通 常 時 DNSはUDPで 通 信 するため 偽 装 応 答 が 容 易 攻 撃 手 法 キャッシュサーバのDNS 検 索 を 盗 聴 し 偽 装 応 答 を 返 す キャッシュサーバに 問 い 合 わせを 送 り IDを 変 化 させた 複 数 の 偽 装 応 答 を 返 す(オープンリゾルバは 非 常 に 危 険 ) TTLの 短 いレコードを 狙 って キャッシュサーバに 偽 装 応 答 を 送 り 続 ける etc Copyright 2010 株 式 会 社 日 本 レジストリサービス 5

6 偽 装 応 答 型 の 攻 撃 ユーザ 1www.jprs.co.jpのAは? 2nsにwwwのAをID 123で 問 い 合 わせ 権 威 サーバ ns.jprs.co.jp 4 応 答 キャッシュサーバ 5 偽 装 DNS 応 答 ソースアドレスをnsに 偽 造 し ID 123で wwwの ( 嘘 の 値 )を 送 り 込 む 3 nsからid 123でwwwの を 返 す 攻 撃 者 3より 先 に5の 偽 DNS 応 答 が 送 り 込 まれると キャッシュサーバは 嘘 情 報 をキャッシュする 4で 嘘 情 報 をクライアントに 送 り クライアントは 偽 のサイトへ 誘 導 される Copyright 2010 株 式 会 社 日 本 レジストリサービス 6

7 偽 装 応 答 型 の 攻 撃 が 成 功 する 確 率 問 い 合 わせと 応 答 のIDが 一 致 すれば 攻 撃 が 成 功 攻 撃 1 回 あたりの 成 功 確 率 P S N R W Port ID R: 攻 撃 対 象 1 台 あたりに 送 るパケット 量 (pps) W: 攻 撃 可 能 な 時 間 (Query AnswerのRTT) N: 攻 撃 対 象 レコードを 保 持 する 権 威 サーバの 数 Port: キャッシュサーバのQuery portの 数 ID: DNSのID (16bit = 65536) (R 20000pps, W 10ms, N 2, Port 1で ) Copyright 2010 株 式 会 社 日 本 レジストリサービス 7

8 毒 入 れ 攻 撃 まとめ 偽 装 応 答 型 の 攻 撃 成 功 確 率 は 決 して 低 くない 現 実 的 には 攻 撃 に 失 敗 するとキャッシュDNSサーバは 正 規 のレコードをキャッシュするため 連 続 攻 撃 は 不 可 能 画 期 的 攻 撃 手 法 であるKaminsky 型 の 攻 撃 手 法 は 連 続 攻 撃 が 可 能 ほぼ 確 実 に 攻 撃 が 成 功 する 毒 入 れは DNSプロトコルそのものが 持 つぜい 弱 性 UDPを 使 う IDが16bitしかない etc 毒 入 れからDNSキャッシュを 守 るための セキュリティ 面 でのプロトコル 拡 張 がDNSSEC Copyright 2010 株 式 会 社 日 本 レジストリサービス 8

9 DNSSECのしくみ Copyright 2010 株 式 会 社 日 本 レジストリサービス 9

10 DNSSECとは DNSセキュリティ 拡 張 (DNS SECurity Extensions) 公 開 鍵 暗 号 の 技 術 を 使 い 検 索 側 が 受 け 取 ったDNSレ コードの 出 自 完 全 性 ( 改 ざんのないこと)を 検 証 できる 仕 組 み 従 来 のDNSとの 互 換 性 を 維 持 した 拡 張 Kaminsky 型 攻 撃 手 法 の 発 覚 を1つの 契 機 に 多 くのTLD が 導 入 開 始 あるいは 導 入 予 定 キャッシュへの 毒 入 れを 防 ぐことができる 現 実 解 他 の 技 術 も 存 在 するが 標 準 化 が 成 されていない Copyright 2010 株 式 会 社 日 本 レジストリサービス 10

11 従 来 のDNS vs DNSSEC DNSサーバが 応 答 に 電 子 署 名 を 付 加 し 出 自 を 保 証 問 合 せ 側 でDNS 応 答 の 改 ざんの 有 無 を 検 出 できる DNS 応 答 の 検 証 不 能 DNS 応 答 従 来 のDNS DNSデータのみを 応 答 DNS 応 答 DNSデータのみを 格 納 DNSデータ DNSデータ DNSサーバ DNSデータ DNS 応 答 と 署 名 を 検 証 正 しい DNS 応 答 DNSSEC 電 子 署 名 を 付 加 して 応 答 DNS 応 答 署 名 署 名 済 み DNSデータを 格 納 DNSデータ DNSデータ DNSデータ 署 名 署 名 署 名 DNSSEC 対 応 DNSサーバ Copyright 2010 株 式 会 社 日 本 レジストリサービス 11

12 DNSSECのスコープ 対 象 としているもの DNS 問 合 せの 応 答 が ドメイン 名 の 正 当 な 管 理 者 からのものであることの 確 認 出 自 の 保 証 DNS 問 合 せの 応 答 における DNSレコードの 改 変 の 検 出 完 全 性 の 保 証 対 象 としていないもの 通 信 路 におけるDNS 問 合 せと 応 答 の 暗 号 化 DNSレコードは 公 開 情 報 という 考 え 方 から Copyright 2010 株 式 会 社 日 本 レジストリサービス 12

13 DNSSEC 導 入 に 向 けて Copyright 2010 株 式 会 社 日 本 レジストリサービス 13

14 DNS 関 係 者 と 各 情 報 の 流 れ ホスティング Webサーバ ユーザー ルートDNS ドメイン 名 登 録 者 DNSプロバイダ 権 威 DNS ISP キャッシュDNS ドメイン 名 レジストラ TLD DNS TLDレジストリ Copyright 2010 株 式 会 社 日 本 レジストリサービス 14

15 DNSSEC 対 応 が 必 要 な 関 係 者 DNSSEC 対 応 ホスティング Webサーバ ユーザー ルートDNS ドメイン 名 登 録 者 DNSプロバイダ 権 威 DNS ISP キャッシュDNS ドメイン 名 レジストラ TLD DNS TLDレジストリ Copyright 2010 株 式 会 社 日 本 レジストリサービス 15

16 DNSEC 対 応 作 業 の 概 要 ドメイン 名 登 録 者 DNSSEC 導 入 の 決 定 ドメイン 名 レジストラ 鍵 情 報 の 上 位 レジストリ への 取 次 ぎ TLD DNS ルートDNS 権 威 DNSサーバの DNSSEC 対 応 化 ゾーンへの 署 名 DNSプロバイダ 権 威 DNSサーバの DNSSEC 対 応 化 秘 密 鍵 公 開 鍵 を 作 成 し ゾーンに 署 名 ISP キャッシュDNSサーバ のDNSSEC 対 応 化 (キャッシュDNSサーバ での) 署 名 の 検 証 Copyright 2010 株 式 会 社 日 本 レジストリサービス 16

17 世 界 のDNSSEC 導 入 の 概 況 (2010 年 11 月 8 日 現 在 ) rootゾーン 2010 年 7 月 15 日 よりDNSSECの 正 式 運 用 開 始 DNSSEC 導 入 済 TLD rootゾーンにある 全 294のTLDのうち 62のTLDが 署 名 済 み 46のTLDがrootゾーンにDSを 登 録 済 み (2009 年 末 は10のTLDが 署 名 済 みだったのみ) 今 後 の 状 況 jpは2010 年 10 月 17 日 に 署 名 開 始 2011 年 1 月 16 日 より 登 録 受 付 サービス 開 始 com は2011 年 前 半 / netは2010 年 末 に 導 入 予 定 導 入 予 定 のTLDは 多 数 Copyright 2010 株 式 会 社 日 本 レジストリサービス 17

18 DNSSEC 普 及 に 関 連 した 動 き KIDNS (Keys In DNS) DNSで 証 明 書 を 公 開 するアイデア CERT RR (RFC 年 Obsoletes RFC 2538) DNSSECの 実 用 化 にともない 現 在 実 用 化 の 検 討 が 始 まっている DNSSECによってDNSレコードが 信 用 できる DNSにある 証 明 書 も 信 用 できる 従 来 の 自 己 証 明 書 では 本 当 にそのサイトのものかどう か 確 認 が 困 難 だが DNSはそのサイトのもの ドメイン 名 の 一 致 を 重 要 な 目 的 とする 証 明 書 では DNS で 自 己 署 名 証 明 書 を 配 布 するほうがリーズナブル? Copyright 2010 株 式 会 社 日 本 レジストリサービス 18

19 DNSSECの 鍵 と 信 頼 の 連 鎖 Copyright 2010 株 式 会 社 日 本 レジストリサービス 19

20 DNSSECの 信 頼 の 連 鎖 の 概 念 図 あらかじめroot 公 開 鍵 を 登 録 キャッシュサーバ root 公 開 鍵 rootゾーン TLD 公 開 鍵 TLDゾーン root 秘 密 鍵 TLD 秘 密 鍵 DNS 問 合 せ DNS 応 答 組 織 公 開 鍵 組 織 ゾーン 組 織 秘 密 鍵 署 名 秘 密 鍵 で 自 ゾーンと 下 位 ゾーンの 公 開 鍵 に 署 名 root 公 開 鍵 をキャッシュサーバに 登 録 することで rootから 組 織 ゾーンまでの 信 頼 の 連 鎖 を 確 立 Copyright 2010 株 式 会 社 日 本 レジストリサービス 20

21 用 語 :バリデータ(Validator) DNSSECにおいて バリデータは 署 名 の 検 証 を 行 うもの(プログラム ライブラリ)を 指 す バリデータの 所 在 キャッシュサーバが 署 名 検 証 を 行 う 場 合 キャッ シュサーバがバリデータそのもの 現 状 もっとも 一 般 的 なDNSSECのモデル WEBブラウザ 等 のDNS 検 索 を 行 うアプリケーショ ンが 直 接 署 名 検 証 を 行 うモデルも 考 えられる Copyright 2010 株 式 会 社 日 本 レジストリサービス 21

22 DNSSEC 化 による 名 前 解 決 モデルの 変 化 従 来 のDNSでの 名 前 解 決 モデル 1 クライアント 2 キャッシュサーバ 3 権 威 サーバ DNSSECでの 名 前 解 決 モデル 1 クライアント バリデータ 2 キャッシュサーバ 3 権 威 サーバ 多 くの 場 合 バリデータは2に 実 装 バリデータが1に 実 装 されていても 問 題 ない 署 名 付 きの 応 答 Copyright 2010 株 式 会 社 日 本 レジストリサービス 22

23 DNSSEC 利 用 する2 種 類 の 鍵 とDS 2 種 類 の 鍵 ZSK (Zone Signing Key) ゾーンに 署 名 するための 鍵 KSK (Key Signing Key) ゾーン 内 の 公 開 鍵 情 報 に 署 名 するための 鍵 DS (Delegation Signer) 上 位 ゾーンに 登 録 するKSKと 等 価 な 情 報 Copyright 2010 株 式 会 社 日 本 レジストリサービス 23

24 ZSK 比 較 的 暗 号 強 度 の 低 い 鍵 例 えばRSAで1024bit 等 の 鍵 を 使 う 暗 号 強 度 が 低 い 署 名 コストが 低 いため 大 規 模 ゾーンの 署 名 にも 適 応 できる 安 全 確 保 のため ある 程 度 頻 繁 に 鍵 を 更 新 する 必 要 がある 鍵 更 新 は 親 ゾーンとは 関 係 なく 独 立 で 行 える Copyright 2010 株 式 会 社 日 本 レジストリサービス 24

25 KSK 比 較 的 暗 号 強 度 の 高 い 鍵 例 えばRSAで2048bitの 鍵 を 使 う 暗 号 強 度 が 高 い 利 用 期 間 を 長 くできるため 鍵 更 新 の 頻 度 を 低 く できる 署 名 コストは 高 いが 少 数 の 鍵 情 報 のみを 署 名 対 象 とするため 問 題 にはならない KSK 公 開 鍵 と 暗 号 論 的 に 等 価 な 情 報 (DS)を 作 成 し 親 ゾーンに 登 録 する KSKを 変 更 する 場 合 同 時 にDSも 更 新 する Copyright 2010 株 式 会 社 日 本 レジストリサービス 25

26 DS KSK 公 開 鍵 を SHA-1/SHA-256 等 のハッ シュ 関 数 で 変 換 したDNSレコード KSK 公 開 鍵 と 等 価 の 情 報 親 ゾーンの 委 任 ポイントに NSと 共 に 子 ゾーンのDS 情 報 を 登 録 親 ゾーンの 鍵 でDSに 署 名 してもらうことで 信 頼 の 連 鎖 を 形 成 する Copyright 2010 株 式 会 社 日 本 レジストリサービス 26

27 DNSSECの 信 頼 の 連 鎖 親 ゾーン のKSK 子 ゾーン のKSK 署 名 署 名 署 名 署 名 親 ゾーン のZSK 署 名 子 ゾーンのDS 子 ゾーン のZSK 署 名 署 名 親 ゾーン NS 子 ゾーン 公 開 鍵 暗 号 による 信 頼 の 連 鎖 を 形 成 キャッシュサーバが KSKの 公 開 鍵 を 使 っ て 署 名 を 検 証 トラストアンカー キャッシュサーバ にはrootゾーンの KSK 公 開 鍵 を 登 録 する Copyright 2010 株 式 会 社 日 本 レジストリサービス 27

28 DSとNSの 本 質 的 な 違 い NS : 委 任 先 DNSゾーンデータが 存 在 する( 可 能 性 のある)サーバを 指 し 示 す DS: 委 任 先 DNSゾーンデータを 直 接 指 し 示 す DSは 子 ゾーンのKSKと 等 価 な 情 報 NSの 指 し 示 すドメイン 名 がDNSSEC 非 対 応 であっ てもDNSSECの 検 証 は 問 題 無 い jpゾーンでの 例 example.jp. IN NS ns0.example.ad.jp. example.jp. IN DS CC83B example.ad.jpドメイン 名 はDNSSEC 対 応 していなくても example.jpドメイン 名 はDNSSEC 検 証 可 能 Copyright 2010 株 式 会 社 日 本 レジストリサービス 28

29 DNSSECの リソースレコード(RR) Copyright 2010 株 式 会 社 日 本 レジストリサービス 29

30 DNSSEC 関 係 のRR 一 覧 DNSKEY RRSIG DS NSEC KSK ZSK 公 開 鍵 の 情 報 各 RRsetへの 署 名 KSK 公 開 鍵 のハッシュ 値 を 含 む 情 報 ( 親 ゾーンに 登 録 ) 次 のRRへのポインタと 存 在 するレコード 型 の 情 報 NSEC3 NSECを 改 良 したもの( 後 述 ) NSEC3PARAM NSEC3に 必 要 な 情 報 Copyright 2010 株 式 会 社 日 本 レジストリサービス 30

31 DNSKEY RR KSKとZSKの 公 開 鍵 を 示 すRR オーナー 名 はゾーン 頂 点 (=ゾーン 名 ) KSKとZSKを 必 要 に 応 じて 複 数 ( 後 述 ) 設 定 example.jp. IN DNSKEY AwEAAeNO41ymz+Iw( 行 末 まで 省 略 ) フラグ(256:ZSK 257:KSK) 2 プロトコル 番 号 (3のみ) 3 DNSSECアルゴリズム 番 号 4 公 開 鍵 (Base64で 符 号 化 ) Copyright 2010 株 式 会 社 日 本 レジストリサービス 31

32 DNSSECアルゴリズム 番 号 ( 抜 粋 ) 番 号 略 称 参 照 5 RSASHA1 [RFC3755] [RFC3110] 7 NSEC3RSASHA1 [RFC5155] 8 RSASHA256 [RFC5702] 10 RSASHA512 [RFC5702] 注 ) 5と7に 差 は 無 く NSECとNSEC3 ( 後 述 ) で 使 い 分 ける DNSSECのDNSSECアルゴリズム 番 号 一 覧 Copyright 2010 株 式 会 社 日 本 レジストリサービス 32

33 DS RR DS - Delegation Signer 子 ゾーンのKSKの 正 当 性 を 親 ゾーンで 承 認 親 ゾーンにのみ 記 述 する 唯 一 のRR example.jp. IN DS DF (16 進 数 40 文 字 ) example.jp. IN DS E8 (16 進 数 64 文 字 ) 鍵 のID 2 DNSSECアルゴリズム 番 号 3ハッシュのアルゴリズム(1:SHA-1, 2:SHA-256) 4ハッシュ 化 したKSK 公 開 鍵 Copyright 2010 株 式 会 社 日 本 レジストリサービス 33

34 RRSIG RR 各 RRへの 署 名 で RRset 毎 に 存 在 する ns.example.jp. IN RRSIG A example.jp NiVihYAIZBEwfUUAbPazDRIbvhNH8S( 以 下 省 略 ) 9 1 署 名 対 象 のRRの 種 類 ここではns.example.jpのA RR 2 DNSSECアルゴリズム 番 号 3ラベルの 数 ns.example.jp だと3 *.example.jp だと Copyright 2010 株 式 会 社 日 本 レジストリサービス 34

35 RRSIG RR( 続 き) 4 署 名 対 象 RRのTTL 5 署 名 の 有 効 期 限 6 署 名 の 開 始 時 刻 7 鍵 のID 8ドメイン 名 9 署 名 署 名 は 元 のRRの 全 て(TTL クラス 等 を 含 む)と RRSIGの 署 名 そのものを 除 いた 残 り を 含 めて 計 算 する Copyright 2010 株 式 会 社 日 本 レジストリサービス 35

36 DNSSECにおける 不 在 証 明 DNSSECではドメイン 名 が 存 在 しない 場 合 存 在 しないことを 証 明 する 必 要 がある 万 が 一 存 在 しないドメイン 名 を 偽 装 されたときの ために 存 在 するのかどうかを 検 証 できる 仕 組 み が 必 須 存 在 するRRは 署 名 (RRSIG RR)を 付 加 して 検 証 することで 存 在 を 証 明 できる 存 在 しないRRは 署 名 不 能 Copyright 2010 株 式 会 社 日 本 レジストリサービス 36

37 ハンバーガーのパティの 有 無 パティ( 肉 )が 有 る パティの 存 在 を 判 断 できる パティが 無 く バンズ(パン)も 無 い パティが 無 いかどうか 判 断 不 能 単 純 に 配 膳 が 遅 れているだけ? クラウン(バンズ 上 部 )とヒール(バンズ 下 部 )が あるのにパティが 無 い クラウンとヒールの 存 在 が 判 断 できる パティが 存 在 しないことを 確 実 に 判 断 できる Copyright 2010 株 式 会 社 日 本 レジストリサービス 37

38 NSEC RR NSECは 存 在 しないものを 証 明 ( 署 名 検 証 )す るためのRR 存 在 するレコードすべてを 整 列 し 次 のレコード へのリストを 生 成 することで 存 在 しないものを 証 明 する NSEC RRにRRSIGを 付 加 し 署 名 検 証 を 行 う Copyright 2010 株 式 会 社 日 本 レジストリサービス 38

39 NSEC RRの 例 sec2.example.jpを 問 合 せた 場 合 の 応 答 sec1.example.jp. IN NSEC sec3.example.jp. NS DS RRSIG NSEC ( 権 威 セクションで 応 答 ) sec1.example.jp の 次 (アルファベット 順 )のドメイ ン 名 は sec3.example.jp sec2.example.jp は 存 在 しないことを 示 す sec1.example.jp には NS, DS, RRSIG, NSEC のRRが 存 在 する NSECはRR TYPEの 不 存 在 も 証 明 する Copyright 2010 株 式 会 社 日 本 レジストリサービス 39

40 NSEC3 RR NSECを 使 った 不 在 証 明 では NSEC RRを 辿 れば 完 全 なゾーンデータを 入 手 できる NSEC 方 式 はゾーンデータの 公 開 と 等 価 Walker(DNSSEC Walker)というツールで NSEC 方 式 のDNSSEC 化 ゾーンのデータを 入 手 可 能 NSEC3 (RFC 5155) ドメイン 名 を 一 方 向 性 ハッシュ 関 数 でハッシュ 化 し たものを 整 列 する Copyright 2010 株 式 会 社 日 本 レジストリサービス 40

41 NSEC3 RRの 例 4HTJTU7UP56274L1C00Q9MLPHG2A2H85.example.jp. IN NSEC ABC NSEC3の 関 連 パラメータ B0B790UE4SAE4QB4RTB3PJSIH6JAOB7R NS DS RRSIG NSEC RRと 比 べると ラベルがハッシュ 化 されBase32でエンコード 元 のドメイン 名 は 推 測 不 能 NSEC3の 関 連 パラメータを 付 加 Copyright 2010 株 式 会 社 日 本 レジストリサービス 41

42 NSEC3の 関 連 パラメータ 前 スライドのRR 例 ABC ハッシュアルゴリズム(1:SHA-1 RFC5155) 2 NSEC3 オプトアウトフラグ (1ならオプトアウト 0はオプトアウトしていない) 3 繰 り 返 し 4ソルト(16 進 数 で 表 記 例 は3バイト 分 のソルト) Copyright 2010 株 式 会 社 日 本 レジストリサービス 42

43 NSEC3のハッシュ 値 計 算 方 法 ハッシュの 計 算 アルゴリズム 1 値 にソルトを 結 合 2 次 にハッシュアルゴリズムでハッシュ 値 を 計 算 3 1 2を 繰 り 返 しで 指 定 された 回 数 適 用 する 計 算 の 元 になる 値 は 小 文 字 で 正 規 化 した ドメイン 名 (のワイヤーフォーマット) nsec3hash (BIND 9.7 系 以 降 に 付 属 )で 計 算 可 Copyright 2010 株 式 会 社 日 本 レジストリサービス 43

44 NSEC3でのオプトアウト 一 部 の 委 任 先 がDNSSEC 化 している 場 合 主 に.JP.COM 等 のTLDで 該 当 ゾーン 内 のレコード 全 てにNSEC3 RRを 用 意 すると それに 付 随 するRRSIGを 含 めた 計 算 コストが 膨 大 となる DNSSEC 化 していない 委 任 情 報 に 署 名 を 付 加 する 必 要 性 は 薄 い 必 要 のある 委 任 先 にのみNSEC3 RRを 用 意 Copyright 2010 株 式 会 社 日 本 レジストリサービス 44

45 NSEC3PARAM RR example.jp. IN NSEC3PARAM ABC ゾーン 提 供 ( 権 威 サーバ) 側 が NSEC3の 計 算 を 行 うために 必 要 なレコード NSEC3のパラメータを 抜 き 出 したもの オーナー 名 はゾーン 頂 点 (ゾーン 名 ) Copyright 2010 株 式 会 社 日 本 レジストリサービス 45

46 NSEC3での 権 威 サーバの 応 答 存 在 しない 名 前 の 検 索 を 受 けた 権 威 サーバ クエリ 名 のハッシュ 値 を 計 算 あらかじめ 整 列 してあるNSEC3 RRの 中 から 前 後 に 該 当 するものを 署 名 と 共 に 権 威 セクション で 応 答 実 際 は 複 数 のNSEC3を 応 答 ( 説 明 省 略 RFC5155 Section 7.2 参 照 ) NSEC3のオーナー 名 の 問 合 せ ドメイン 名 としては 存 在 しないもの 名 前 エラー(Name Error)を 応 答 する Copyright 2010 株 式 会 社 日 本 レジストリサービス 46

47 NSECとNSEC3 比 較 NSEC NSEC3 ゾーンデータの 秘 匿 性 無 有 ハッシュ 値 を 求 めるための 計 算 コストの 増 加 無 有 NSEC3はNSECに 比 較 しドメイン 名 の 秘 匿 性 は 高 まるが ハッシュ 計 算 のためのコストが 増 加 する NSEC3とNSECは 用 途 に 応 じて 使 い 分 ける ゾーンデータを 秘 匿 する 必 要 が 無 い 場 合 NSECのほう が 各 DNSサーバの 負 荷 の 増 加 を 抑 えられる Copyright 2010 株 式 会 社 日 本 レジストリサービス 47

48 署 名 検 証 (1) 1 上 位 からNSとDSを 受 け 取 る JPの 権 威 サーバからexample.jpのDS (DSの 署 名 検 証 の 解 説 は 省 略 )とNSの 情 報 を 受 け 取 る 2 当 該 ゾーンのDNSKEYを 受 け 取 る example.jpの 権 威 サーバから example.jpの DNSKEY( 複 数 )とRRSIG( 複 数 )を 受 け 取 る 3 DNSKEYからKSKを 識 別 する DNSKEYは 複 数 (2 個 以 上 ) 存 在 するので フラグが257 のDNSKEY(1 個 以 上 )を 識 別 する 4 KSKを 特 定 する KSKとDSの 鍵 ID DNSSECアルゴリズム 番 号 を 比 べ KSKを 特 定 Copyright 2010 株 式 会 社 日 本 レジストリサービス 48

49 署 名 検 証 (2) 5 KSKを 認 証 する DSのハッシュアルゴリズムに 従 ってKSKのハッシュ 値 を 計 算 し DSにあるハッシュ 値 と 比 較 してKSKを 確 認 する 6 DNSKEYを 認 証 する 3で 受 け 取 ったDNSKEYに 付 随 したRRSIG( 複 数 )の 鍵 IDからKSKの 鍵 IDと 一 致 するものを 識 別 し 署 名 検 証 を 行 いDNSKEYを 認 証 する 7 DNSKEYからZSKを 識 別 する DNSKEYのフラグが256のものを 識 別 する ここでZSKは 複 数 存 在 する 可 能 性 がある Copyright 2010 株 式 会 社 日 本 レジストリサービス 49

50 署 名 検 証 (3) 8 受 け 取 る example.jpの 権 威 サーバから AとRRSIG(1 個 以 上 )を 受 け 取 る 9 認 証 する RRSIGの 鍵 IDと 一 致 するZSKで 署 名 を 検 証 する 必 ずしも 処 理 はこの 順 番 ではなく 実 装 に 依 存 する 署 名 検 証 の 際 署 名 の 有 効 期 間 ドメイン 名 など 他 の RRSIGのパラメータもチェックされる DSやDNSKEY RRSIG 等 は 署 名 検 証 後 もTTLの 有 効 時 間 キャッシュする Copyright 2010 株 式 会 社 日 本 レジストリサービス 50

51 鍵 更 新 と 再 署 名 Copyright 2010 株 式 会 社 日 本 レジストリサービス 51

52 鍵 更 新 鍵 更 新 : Key rollover 同 じ 鍵 を 長 期 間 使 い 続 けると 様 々なリスクが 生 じる 不 注 意 偶 発 的 事 故 鍵 の 盗 難 暗 号 解 読 等 リスクを 最 小 に 抑 えるため DNSSEC 対 応 ゾーンの 運 用 では 定 期 的 な 鍵 更 新 ( 鍵 の 交 換 )を 行 う 例 えばSE(スウェーデン)の 場 合 年 に1 回 新 しい KSKを 生 成 し 2 年 間 利 用 する 運 用 を 行 っている Copyright 2010 株 式 会 社 日 本 レジストリサービス 52

53 鍵 更 新 時 に 留 意 すべきこと 鍵 更 新 は DNSSECの 信 頼 の 連 鎖 が 途 切 れ ないよう 注 意 深 く 作 業 する 必 要 がある 鍵 情 報 (DSやDNSKEY)と 署 名 (RRSIG)はDNS のレコードである キャッシュサーバはこれらをキャッシュする キャッシュしている 情 報 と あらたにキャッシュ サーバが 受 け 取 る 情 報 の 整 合 性 を 確 保 する 2 種 類 の 鍵 更 新 手 法 事 前 公 開 法 (Pre-Publish Key Rollover) 二 重 署 名 法 (Double Signature Key Rollover) Copyright 2010 株 式 会 社 日 本 レジストリサービス 53

54 ZSKの 更 新 事 前 公 開 法 (1/2) 1 DNSKEYに 新 旧 のZSKを 登 録 する 新 ZSKを 作 成 し 旧 ZSKと 共 にDNSKEYに 登 録 し(この 状 態 でKSKを 含 めてDNSKEYは 最 低 3 個 ) 旧 ZSKで ゾーンを 署 名 DNSKEYのTTL 時 間 (+セカンダリの 転 送 時 間 ) 待 つ 全 てのキャッシュサーバが 新 旧 のZSKを 含 んだ DNSKEYをキャッシュするようになり 旧 RRSIGでも 新 RRSIGでも 署 名 を 検 証 できるようになる 2 ゾーンの 署 名 鍵 を 新 ZSKに 切 り 替 える ゾーン 内 の 最 長 のTTL 時 間 (+セカンダリの 転 送 時 間 ) 待 つ 全 てのキャッシュサーバから 旧 ZSKで 署 名 したRRSIGが 無 くなる Copyright 2010 株 式 会 社 日 本 レジストリサービス 54

55 ZSKの 更 新 事 前 公 開 法 (2/2) 3 旧 ZSKをDNSKEYから 削 除 する DNSKEYは 新 ZSKとKSKの 状 態 になる 初 期 状 態 DNSKEY KSK 旧 ZSK KSK 旧 ZSK 新 ZSK KSK 旧 ZSK 新 ZSK KSK 新 ZSK RRSIG 旧 ZSKでの 署 名 旧 ZSKでの 署 名 新 ZSKでの 署 名 新 ZSKでの 署 名 時 間 の 流 れ Copyright 2010 株 式 会 社 日 本 レジストリサービス 55

56 ZSKの 更 新 二 重 署 名 法 1 新 ZSKを 作 成 し 新 旧 両 方 のZSKでゾーンを 署 名 ゾーン 内 の 最 大 TTL 時 間 (+セカンダリの 転 送 時 間 ) 待 つ 2 DNSKEYのZSKの 新 旧 を 入 れ 替 え 新 ZSKで ゾーンを 署 名 DNSKEY 初 期 状 態 1 2 KSK 旧 ZSK KSK 旧 ZSK KSK 新 ZSK RRSIG 旧 ZSKでの 署 名 旧 ZSKでの 署 名 新 ZSKでの 署 名 新 ZSKでの 署 名 時 間 の 流 れ Copyright 2010 株 式 会 社 日 本 レジストリサービス 56

57 ZSKの 更 新 メリット デメリット 事 前 公 開 法 ゾーンへの 署 名 を2 回 行 う 必 要 が 無 い ZSKの 公 開 時 間 が 長 くなるため 暗 号 解 読 攻 撃 のリスク が 高 まる(ZSKは 鍵 長 が 短 い) 初 期 状 態 から 数 えて4ステップ 必 要 次 のZSKを 常 時 公 開 することで 手 順 を 簡 略 化 可 能 二 重 署 名 法 初 期 状 態 から 数 えて3ステップで 終 了 する ゾーンへの 署 名 を2 回 行 う 必 要 がある 鍵 更 新 期 間 中 (1の 状 態 )はDNSデータが 大 きくなる Copyright 2010 株 式 会 社 日 本 レジストリサービス 57

58 KSKの 更 新 二 重 署 名 法 (1/2) 1 新 KSKを 作 成 し DNSKEYに 登 録 して DNSKEYを 新 KSKと 旧 KSKで 署 名 する 2 親 ゾーンのDS 登 録 を 旧 から 新 に 切 り 替 える 親 側 のDSの 切 り 替 え 作 業 を 待 ち その 後 親 側 の 旧 DSのTTL 時 間 分 待 つ 3 旧 KSKを 削 除 する Copyright 2010 株 式 会 社 日 本 レジストリサービス 58

59 KSKの 更 新 二 重 署 名 法 (2/2) 初 期 状 態 親 ゾーンのDS 旧 DS 旧 DS 新 DS 新 DS 子 ゾーン DNSKEY 旧 KSK ZSK 旧 KSK 新 KSK ZSK 旧 KSK 新 KSK ZSK 新 KSK ZSK 子 ゾーン DNSKEYの RRSIG 旧 KSKでの 署 名 ZSKでの 署 名 旧 KSKでの 署 名 新 KSKでの 署 名 ZSKでの 署 名 時 間 の 流 れ 旧 KSKでの 署 名 新 KSKでの 署 名 ZSKでの 署 名 新 KSKでの 署 名 ZSKでの 署 名 Copyright 2010 株 式 会 社 日 本 レジストリサービス 59

60 KSKの 更 新 事 前 公 開 法 1 新 KSK(と 新 DS)を 作 成 し 親 ゾーンに 新 旧 2 つのDSを 登 録 する 親 ゾーンのDS 登 録 を 待 つ さらに 旧 DSのTTL 時 間 待 つ 2 旧 KSKを 破 棄 し 新 KSKでDNSKEYに 署 名 する 3 親 ゾーンのDS 登 録 を 新 DSのみにする Copyright 2010 株 式 会 社 日 本 レジストリサービス 60

61 KSKの 更 新 事 前 公 開 法 初 期 状 態 親 ゾーンのDS 旧 DS 旧 DS 新 DS 旧 DS 新 DS 新 DS 子 ゾーン DNSKEY 旧 KSK ZSK 旧 KSK ZSK 新 KSK ZSK 新 KSK ZSK 子 ゾーン DNSKEYの RRSIG 旧 KSKでの 署 名 ZSKでの 署 名 旧 KSKでの 署 名 ZSKでの 署 名 新 KSKでの 署 名 ZSKでの 署 名 新 KSKでの 署 名 ZSKでの 署 名 時 間 の 流 れ Copyright 2010 株 式 会 社 日 本 レジストリサービス 61

62 KSKの 更 新 メリット デメリット 二 重 署 名 法 親 ゾーンとのDSのやり 取 りが1 回 で 済 む ZSKと 違 い 署 名 がDNSKEYにのみ 作 用 するの で ゾーンデータの 肥 大 化 は 問 題 にならない 事 前 公 開 法 親 ゾーンとDSのやり 取 りが2 回 必 要 となる Copyright 2010 株 式 会 社 日 本 レジストリサービス 62

63 ゾーンの 再 署 名 署 名 の 有 効 期 限 が 長 すぎるのは 望 ましくない 万 が 一 の 事 態 ( 鍵 の 盗 難 等 )において 速 やかに 対 応 するためには 署 名 期 間 は 短 いほうがよい 有 効 期 限 が 数 分 の 署 名 も 技 術 的 には 可 能 休 日 等 の 対 応 を 考 慮 すると 現 実 性 に 欠 ける 署 名 の 有 効 期 限 に 達 する 前 に 署 名 の 有 効 期 限 を 更 新 するために ゾーン 全 体 の 再 署 名 が 必 要 となる DNSSECでは 再 署 名 を 行 ってゾーン 情 報 を 定 期 的 に 更 新 する 必 要 がある Copyright 2010 株 式 会 社 日 本 レジストリサービス 63

64 NSEC3 固 有 の 問 題 NSEC3では 同 じハッシュ 値 を 使 い 続 けると 辞 書 攻 撃 により 秘 匿 している 情 報 が 解 析 され るリスクがある ゾーンの 再 署 名 時 にソルトを 変 更 し ハッシュ 値 を 変 えるのが 望 ましい Copyright 2010 株 式 会 社 日 本 レジストリサービス 64

65 鍵 の 更 新 間 隔 運 用 面 での 鍵 の 更 新 間 隔 の 実 用 的 な 値 KSK 13ヵ 月 12ヶ 月 で 鍵 更 新 ZSK ~3ヵ 月 KSKの 更 新 はDSの 登 録 変 更 作 業 を 伴 うため ドメイン 名 登 録 の 更 新 にあわせるのが 現 実 的 ZSKはKSKのような 制 約 は 無 く ゾーン 内 で 処 理 が 完 結 するため 運 用 面 での 負 荷 を 考 慮 しながら 期 間 を 短 めに 設 定 する Copyright 2010 株 式 会 社 日 本 レジストリサービス 65

66 TTLと 署 名 の 期 間 RRのTTLが 署 名 期 間 より 長 かったら キャッシュしたRRの 署 名 が 無 効 になる 事 態 が 発 生 する 署 名 の 有 効 期 間 はTTLより 長 い 必 要 がある SOAのExpireが 署 名 期 間 より 長 かったら セカンダリサーバでゾーンが 有 効 にも 関 わらず 署 名 が 無 効 になる 事 態 が 発 生 する 可 能 性 がある SOAのExpireは 署 名 期 間 より 短 い 必 要 がある Copyright 2010 株 式 会 社 日 本 レジストリサービス 66

67 鍵 管 理 KSK 秘 密 鍵 が 漏 洩 すると 問 題 KSKの 更 新 は DSの 登 録 変 更 作 業 が 必 要 なた め 対 処 に 時 間 がかかる ZSKはKSKに 比 べリスクは 小 さい 万 が 一 漏 洩 した 場 合 でも KSKに 比 べ 短 時 間 で 更 新 できる いずれにしても 鍵 管 理 は 十 分 厳 重 に 行 う Copyright 2010 株 式 会 社 日 本 レジストリサービス 67

68 BINDキャッシュサーバでの DNSSECの 設 定 Copyright 2010 株 式 会 社 日 本 レジストリサービス 68

69 古 くて 新 しいDNSSEC RFC 発 行 年 概 要 対 応 BIND 年 DNSSEC 最 初 のRFC 年 RFC 2065の 改 良 版 9.2 系 まで 年 DS RRの 登 場 9.3 系 から 年 現 行 のDNSSEC 方 式 の 基 本 (NSEC 方 式 ) 9.3 系 から 年 トラストアンカーの 自 動 更 新 9.7 系 から 年 NSEC3 方 式 (NSEC 方 式 の 改 良 ) 9.6 系 から 年 DNSKEY,RRSIGのSHA-2 対 応 9.7 系 から Copyright 2010 株 式 会 社 日 本 レジストリサービス 69

70 BINDキャッシュサーバでの DNSSECの 設 定 バージョンは9.7.2-P3 以 降 を 使 う JPやrootゾーンではアルゴリズムに RSASHA256を 採 用 している 通 常 のキャッシュサーバの 設 定 に 署 名 の 検 証 を 行 う 設 定 を 追 加 する named.conf の options 部 分 以 下 を 追 加 する dnssec-enable yes; dnssec-validation yes; 署 名 の 検 証 に 必 要 な 情 報 を 登 録 する トラストアンカーの 登 録 Copyright 2010 株 式 会 社 日 本 レジストリサービス 70

71 署 名 の 検 証 を 行 うオプション dnssec-enable DNSSEC 対 応 にするかどうかのオプション BIND 9.4 以 降 のデフォルト yes dnssec-validation DNSSECの 署 名 検 証 を 行 うかどうかのオプション BIND 9.4のデフォルト no BIND 9.5 以 降 のデフォルト yes options { };... dnssec-enable yes; // BIND 9.7 であれば dnssec-validatioin yes; // 設 定 しなくてもよい Copyright 2010 株 式 会 社 日 本 レジストリサービス 71

72 rootゾーンの 公 開 鍵 rootゾーンの 公 開 鍵 関 連 情 報 の 入 手 先 https://data.iana.org/root-anchors/ rootゾーンの 公 開 鍵 https://data.iana.org/root-anchors/root-anchors.xml ただしDS 情 報 のみ BINDで 設 定 するトラストアンカーはKSK 公 開 鍵 KSK 公 開 鍵 を 入 手 する 必 要 がある( 後 述 ) DNSSEC Trust Anchor Publication for the Root Zone https://data.iana.org/root-anchors/draft-icann-dnssectrust-anchor.html 他 に PGPの 公 開 鍵 署 名 等 がある Copyright 2010 株 式 会 社 日 本 レジストリサービス 72

73 root-anchors.xmlの 内 容 <?xml version="1.0" encoding="utf-8"?> <TrustAnchor id="ad42165f-3b1a f42-d34a1d41fd93 source="http://data.iana.org/root-anchors/root-anchors.xml"> <Zone>.</Zone> <KeyDigest id="kjqmt7v validfrom=" t00:00:00+00:00"> <KeyTag>19036</KeyTag> <Algorithm>8</Algorithm> <DigestType>2</DigestType> <Digest> 49AAC11D7B6F E54A A1A FD2CE1CDDE32F24E8FB5 </Digest> </KeyDigest> </TrustAnchor> Copyright 2010 株 式 会 社 日 本 レジストリサービス 73

74 rootのksk 公 開 鍵 の 入 手 rootゾーンのksk 公 開 鍵 を 入 手 $ dig. dnskey grep -w 257 > root-ksk.key 257は 現 在 有 効 なKSK (ZSKは256) KSK 公 開 鍵 からDSを 生 成 $ dnssec-dsfromkey -2 -f root-ksk.key.. IN DS AAC11D< 中 略 >F24E8FB5 結 果 をroot-anchors.xmlと 比 較 し 差 異 の 無 いことを 確 認 する 注 意 : httpsを 信 頼 の 基 点 として 作 業 PGP 鍵 で 検 証 するのが 望 ましい Copyright 2010 株 式 会 社 日 本 レジストリサービス 74

75 BINDへトラストアンカーの 登 録 named.conf にトラストアンカーを 登 録 root-ksk.keyから <TTL> IN DNSKEY を 除 いて trusted-keysに 設 定 trusted-keysの 書 式 ドメイン 名 数 字 数 字 数 字 公 開 鍵 公 開 鍵 は で 囲 み 空 白 TAB 改 行 等 があってもよい 複 数 ドメイン 名 の 設 定 が 可 能 trusted-keys { AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ bsew0o8gccjffvqutf6v58fljwbd0yi0ezracqqbgczh < 中 略 > LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0== ; }; Copyright 2010 株 式 会 社 日 本 レジストリサービス 75

76 キャッシュサーバの 動 作 確 認 named.conf の 変 更 が 終 わったら キャッシュ サーバ 用 のnamedを 再 起 動 する digコマンドでdnssec 対 応 ゾーンの 確 認. の SOAが 確 実 代 表 的 なDNSSEC 対 応 のドメイン 名 等 Copyright 2010 株 式 会 社 日 本 レジストリサービス 76

77 キャッシュサーバへのdigの 結 果 $ +dnssec a ; <<>> DiG P2 +dnssec a ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7369 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 13 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.isc.org. IN A ;; ANSWER SECTION: 455 IN A IN RRSIG A isc.org. gh5y8vwkqwdvgpkk< 略 > ;; AUTHORITY SECTION: isc.org IN NS ns.isc.afilias-nst.info. isc.org IN NS sfba.sns-pb.isc.org. isc.org IN NS ord.sns-pb.isc.org. isc.org IN NS ams.sns-pb.isc.org. isc.org IN RRSIG NS isc.org. G+qmwMI9fPrMV < 略 > < 以 下 略 > Copyright 2010 株 式 会 社 日 本 レジストリサービス 77

78 digの 結 果 のflagsフィールド flags: qr rd ra ad; DNSにおけるさまざまな 状 態 を 表 すフラグ DNSSECに 関 係 するflag ad: Authentic Data 署 名 が 検 証 できた 正 しいデータであることを 示 す cd: Checking Disabled 署 名 のチェックを 行 っていない 状 態 を 示 す 署 名 の 検 証 を 行 わない 場 合 は+cdを 指 定 $ +cd a flags: qr rd ra cd; BINDはtrusted-keysを 設 定 すると 内 部 では 必 ず 署 名 の 検 証 を 行 う Copyright 2010 株 式 会 社 日 本 レジストリサービス 78

79 DNSSEC 検 証 の 失 敗 トラストアンカーの 設 定 を 誤 った 場 合 $ dig +dnssec. soa status: SERVFAIL 答 えが 得 られない 署 名 検 証 に 失 敗 した 場 合 名 前 解 決 不 能 DNSSEC 最 大 のリスク Copyright 2010 株 式 会 社 日 本 レジストリサービス 79

80 トラストアンカーの 自 動 更 新 rootのkskが 更 新 された 場 合 BIND 等 で 設 定 しているトラストアンカーの 更 新 が 必 要 定 期 的 な 更 新 作 業 を 要 求 される トラストアンカーの 自 動 更 新 機 能 RFC 5011 対 応 -BIND 9.7の 新 機 能 の 一 つ rootのksk 管 理 は RFC 5011に 準 拠 RFC 5011 対 応 の 設 定 を 行 えば トラストアン カーの 更 新 作 業 を 自 動 化 できる Copyright 2010 株 式 会 社 日 本 レジストリサービス 80

81 RFC 5011 対 応 の 設 定 (1/2) managed-keysにトラストアンカーを 設 定 trusted-keysの 替 わりにmanaged-keysを 使 う 別 ドメイン 名 であれば 併 用 も 可 能 managed-keysの 書 式 ドメイン 名 initial-key 数 字 数 字 数 字 公 開 鍵 initial-key を 追 加 しあとはtrusted-keysと 同 じ 複 数 ドメイン 名 の 設 定 が 可 能 managed-keys {. initial-key AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ bsew0o8gccjffvqutf6v58fljwbd0yi0ezracqqbgczh < 中 略 > LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0== ; }; Copyright 2010 株 式 会 社 日 本 レジストリサービス 81

82 RFC 5011 対 応 の 設 定 (2/2) managed-keysでは 2つのファイルがワーキング ディレクトリに 作 成 される managed-keys.bind KSKの 履 歴 managed-keys.bind.jnl 上 記 のジャーナルファイル ディレクトリはmanaged-keys-directoryで 変 更 可 ディレクトリのパーミッションを namedの 実 行 権 限 で 読 み 書 きできるように 設 定 する $ ps auxc fgrep named bind ?? Ss 29Jul10 2:14.61 named $ ls -ld /var/run/named drwxr-xr-x 2 bind wheel 512 Jul 30 12:24 /var/run/named 運 用 事 例 が 少 ないため RFC 5011の 過 信 は 禁 物 Copyright 2010 株 式 会 社 日 本 レジストリサービス 82

83 鍵 生 成 と 署 名 作 業 Copyright 2010 株 式 会 社 日 本 レジストリサービス 83

84 DNSSEC 鍵 の 作 成 : dnssec-keygen -a 鍵 生 成 アルゴリズムの 指 定 RSASHA1 NSEC3RSASHA1 RSASHA256 RSASHA512などを 指 定 する -b ビット 長 ZSK: 上 記 アルゴリズムの 場 合 1024ビット 以 上 KSK: 上 記 アルゴリズムの 場 合 2048ビット 以 上 -f ksk KSKを 作 成 する 場 合 に 指 定 最 後 に 名 前 (ゾーン 名 )を 指 定 Copyright 2010 株 式 会 社 日 本 レジストリサービス 84

85 KSKとZSKの 生 成 ZSKの 生 成 # dnssec-keygen -a RSASHA256 -b 1024 example.jp > zsk-example.jp 鍵 のファイル 名 を 表 示 するので その 結 果 を 保 存 する Kexample.jp 桁 の 数 字 はアルゴリズム 5 桁 は 識 別 子 (ID) 1 組 の 鍵 ファイルができる Kexample.jp key Kexample.jp private KSKの 生 成 # dnssec-keygen -a RSASHA256 -b 2048 f ksk example.jp > ksk-example.jp 公 開 鍵 秘 密 鍵 Copyright 2010 株 式 会 社 日 本 レジストリサービス 85

86 鍵 ファイルの 中 身 の 例 ( 秘 密 鍵 ) Private-key-format: v1.3 Algorithm: 8 (RSASHA256) Modulus: yrdbkqrgezuj6gab2rd4sznfchb9sqmu9rq/bhhts7fhxt90ey7cg2rlrh28l4ay4tfwgskbn4bpqhvwxvt69zqu4jbuy7gg7j2rs +Eb+WYGUAyUWQMQ9MvPGOTD0tImE4m5kjUTnoziS/GFDSMj8GXs4rHm1rUWyClf9lv2Ru0= PublicExponent: AQAB PrivateExponent: rhnf6bini7rsgla45fzxx0wynb2s1pxalvrncsvwtoz3jhd5p6d33pw/agmnx9f/tidnciq6l4yx+ttyssiyfemvg4trzcx91ry5j VVxBL91kHPqTiNwdrdM5mcKE3835SFK/XEInPYHErAGi2Gz3bQGlk2dPGjQG6ai5ua1x9E= Prime1: 9Gy+ms2q0EYpHVb4drHR25l4HzC2xpdgH77/0pwtftZSg7NZixb2YI9ULRy38y+57YtZ2AZ4s51QzgGHPt2xUw== Prime2: 0pZZH5hPkkjNFVTBKQc0nve3Pd/FnS7GmlOhq2NhXQEYexRkYt0R2VYfV+GYgszuooOXqjRWi0eI1G/uMfPevw== Exponent1: lxlbojz8ne0xnn3r5rmzzbkgz2hxod+r9y07u7yyxjilwcdlci/ikpimy7g7dmel/2nbj0egtqvifpxw1qf55w== Exponent2: CxRN7BOfXBrob07eOsJeSl7ODTtQskxbtpLf1pyL6tC78P3JqknnPoABdiYwV/FgPLyfphzK0NkaodKhvY8PEQ== Coefficient: 8q2G3F5fagdIvejnm6Jt7kXD5EYI3LXOVGwDYgZOLH6vPF/Eh5952Q9ivSr7qNqyjWzqMEP1fpET4uhRLizy5Q== Created: Publish: Activate: BIND 9.7 系 のdnssec-keygenで 作 成 9.6 系 まではformatがv1.2で v1.2はbind 9.7 系 のツー ルでも 扱 えるが v1.3は9.7 系 ( 以 降 )のツールのみ 対 応 RSASHA256やRSASHA512はBIND 以 降 で 対 応 Copyright 2010 株 式 会 社 日 本 レジストリサービス 86

87 鍵 ファイルの 中 身 の 例 ( 公 開 鍵 ) ; This is a zone-signing key, keyid 52863, for example.jp. ; Created: (Wed Nov 24 15:58: ) ; Publish: (Wed Nov 24 15:58: ) ; Activate: (Wed Nov 24 15:58: ) example.jp. IN DNSKEY AwEAAckQwSqkRhGVI+oAAdq3eEszX3B2/bEDFPa6vwR4U7OxR8bfdHsu 3Btqy64dvJeAGOLRVhkigTeGz0IVVl70+vc6ruIwbsuxoO49kbPhG/lm BlAMlFkDEPTLzxjkw9LSJhOJuZI1E56M4kvxhQ0jI/Bl7OKx5ta1Fsgp X/Zb9kbt BIND 9.7 系 のdnssec-keygenで 作 成 ; のコメント 部 については 後 述 Copyright 2010 株 式 会 社 日 本 レジストリサービス 87

88 dnssec-keygenの 注 意 点 KSKとZSKの 区 別 に 注 意 する 2 組 の 鍵 ファイル( 計 4 個 )ができ 見 た 目 での 識 別 は 困 難 実 行 時 に 鍵 ファイル 名 を 保 存 すると 良 い # dnssec-keygen f ksk.. > ksk-... # dnssec-keygen... > zsk Copyright 2010 株 式 会 社 日 本 レジストリサービス 88

89 ゾーンへの 署 名 : dnssec-signzone 署 名 対 象 ゾーンファイル ZSK KSKを 準 備 同 じディレクトリに 用 意 し ゾーンファイルは ゾーン 名 とファイル 名 を 一 致 させると 便 利 example.jp Kexample.jp key Kexample.jp private Kexample.jp key Kexample.jp private KSK 公 開 鍵 KSK 秘 密 鍵 ZSK 公 開 鍵 ZSK 秘 密 鍵 Copyright 2010 株 式 会 社 日 本 レジストリサービス 89

90 ゾーンへの 署 名 ( 続 き) ゾーンファイルにKSK ZSKの 公 開 鍵 を 登 録 公 開 鍵 をまとめたファイルを 用 意 し $INCLUDE 文 を 利 用 してゾーンファイルから 参 照 する # cat `cat ksk-example.jp`.key `cat zsk-example.jp`.key > example.jp.keys ;ゾーンファイル 中 でkeyファイルを 参 照 $INCLUDE example.jp.keys SOAシリアル 値 の 管 理 は dnssec-signzone の -N オプションにまかせるのがベター Copyright 2010 株 式 会 社 日 本 レジストリサービス 90

91 署 名 前 のゾーンファイル example.jp $TTL 1D $INCLUDE IN SOA ns root ( 1 ; Serial ; Refresh 3600 ; Retry ; Expire 1800 ) ; Minimum TTL NS ns MX 10 mail ; ns A www A mail A sub1 NS ns.sub1 ns.sub1 A sec3 NS ns.sec3 ns.sec3 A $INCLUDE../sec3.example.jp/dsset-sec3.example.jp. sub3 NS ns.sub3 ns.sub3 A Copyright 2010 株 式 会 社 日 本 レジストリサービス 91

92 署 名 の 実 行 dnssec-signzone -H < 繰 り 返 し 回 数 > -3 <salt> -N <SOAのシリアル 値 > -k <KSK> <ゾーンファイル> <ZSK> # dnssec-signzone H ABC N unixtime k `cat ksk-example.jp` example.jp `cat zsk-example.jp` -3はNSEC3 方 式 を 選 びソルトを 指 定 するオプション 秘 密 鍵 を 明 示 的 に 指 定 する 必 要 は 無 い 出 力 ファイル example.jp.signed 署 名 済 みのゾーン dsset-example.jp. ゾーンへのDS RR Copyright 2010 株 式 会 社 日 本 レジストリサービス 92

93 署 名 済 みのゾーンファイル( 抜 粋 ) ; File written on Wed Nov 24 16:07: ; dnssec_signzone version P2 example.jp IN SOA ns.example.jp. root.example.jp. ( ; serial < 中 略 > ) RRSIG SOA ( example.jp. WcEe7OoXanQAPuS8pTwYJ1wLRFkC75/2kwii < 中 略 > 8NmbrA3wlhoCqwEBAeQX+ZhKZtQ= ) NS ns.example.jp RRSIG NS ( example.jp. blctvbbvftz6nbtszvj8yn0g0pymbtyfzevd < 中 略 > Q2kGOoVtpxJoG69hOod036w+Yj8= ) MX 10 mail.example.jp RRSIG MX ( example.jp. OiKiNz7CGAnBXdgfaUm23+/VOGaLfgMk6RYB < 中 略 > 0D3RCXYCUoGtKdCswIM77w0U2GE= ) DNSKEY ( AwEAAckQwSqkRhGVI+oAAdq3eEszX3B2/bED < 中 略 > 4kvxhQ0jI/Bl7OKx5ta1FsgpX/Zb9kbt ) ; key id = DNSKEY ( AwEAAauHCuMQzCBUaaQLNf/FPRGqcPupOdYU < 中 略 > WnegM3YXJyvpSS0gZ9ykoo1Reqa/94XL9HCl vizuhkdczjyo/0ekdgbt5iu= ) ; key id = Copyright 2010 株 式 会 社 日 本 レジストリサービス 93

94 DSの 登 録 dsset-example.jpの 内 容 を 親 ドメインに 登 録 子 ゾーンの 署 名 時 に 生 成 されたもの 内 容 の 例 example.jp. IN DS EFE< 中 略 >4BE example.jp. IN DS D29< 中 略 >F32852 DE98ED8C DSレコードはKSKの 公 開 鍵 からも 生 成 可 能 dnssec-dsfromkeyコマンドを 使 用 する Copyright 2010 株 式 会 社 日 本 レジストリサービス 94

95 BIND 権 威 サーバでの DNSSECの 設 定 Copyright 2010 株 式 会 社 日 本 レジストリサービス 95

96 BINDの 設 定 : 権 威 サーバ(1/2) DNSSECを 有 効 にする named.conf の options 部 分 に dnssec-enable yes; を 追 加 options { < 省 略 > dnssec-enable yes; // BIND 9.4 以 降 は // デフォルトが yes; < 省 略 > }; Copyright 2010 株 式 会 社 日 本 レジストリサービス 96

97 BINDの 設 定 : 権 威 サーバ(2/2) ゾーンファイルを 署 名 済 みのものに 変 更 zone "example.jp" { } ; type master ; // file "example.jp.zone" ; file "example.jp.signed" ; namedを 再 起 動 rndc reload Copyright 2010 株 式 会 社 日 本 レジストリサービス 97

98 権 威 サーバの 動 作 確 認 digコマンドでdnssec 対 応 ゾーンの 確 認 # dig +dnssec a +dnssec DNSSECを 有 効 にする 問 合 せ このオプションなしでは 通 常 の(DNSSECでない) ものと 同 じ 結 果 が 返 る +norec 非 再 帰 問 合 せ キャッシュサーバから 権 威 サーバへの 問 合 せと 同 じ 形 式 の 問 合 せ Copyright 2010 株 式 会 社 日 本 レジストリサービス 98

99 権 威 サーバへのdigの 結 果 (1/2) $ +norec a ; <<>> DiG P2 +norec ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1 ;; QUESTION SECTION: ;www.example.jp. IN A ;; ANSWER SECTION: IN A ;; AUTHORITY SECTION: example.jp IN NS ns.example.jp. ;; ADDITIONAL SECTION: ns.example.jp IN A ;; Query time: 0 msec ;; SERVER: #53( ) ;; WHEN: Wed Nov 24 16:23: ;; MSG SIZE rcvd: 81 +dnssec 無 しの digの 応 答 Copyright 2010 株 式 会 社 日 本 レジストリサービス 99

100 権 威 サーバへのdigの 結 果 (2/2) $ +dnssec +norec ; <<>> DiG P2 +dnssec +norec ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3 +dnssecありでは RRSIG RR を 加 えたものが 返 る ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.example.jp. IN A ;; ANSWER SECTION: IN A IN RRSIG A example.jp. r8ci/2zmc5fctlie6pjzoai0oo0mybwzir3ykfpdpkmgwxaf1phccczk ogzxfdvw1pmkp3hc+tshzthw+fucy1encspzl5n1rvl39tsp83zhfgz6 PKH7FsxGZUFtwa0cyILkcKRF7BPvrITCk+y0oWivzDr1LHGR+5F6hx1p 4ac= ;; AUTHORITY SECTION: example.jp IN NS ns.example.jp. example.jp IN RRSIG NS example.jp. blctvbbvftz6nbtszvj8yn0g0pymbtyfzevdwpl0wymd6zbdix3zgxsv EymEaWi8CDzmnbQqZ5VM5dCAe5IaddZqHgAdeJJ2MRZCu2OxDdCjwEne pnnfnu0txcvyp6dipq61mcc+2lzhlakzq2kgoovtpxjog69hood036w+ Yj8= ;; ADDITIONAL SECTION: ns.example.jp IN A ns.example.jp IN RRSIG A example.jp. vgod3t5bklnteozwdexjkczaexfblb+qfmzzz3p7+jufa7/1njqgvwwo dqtglbznfutl+7lediojnf9zdajjji7dobv10nb3wy/1qmzhw3hambcm 64DgbN/004j1HUORp30UgB59/Esb8HFARQQcskRAxa7iq1gdTm5dH5oa PB0= ;; Query time: 0 msec ;; SERVER: #53( ) ;; WHEN: Wed Nov 24 16:28: ;; MSG SIZE rcvd: Copyright 2010 株 式 会 社 日 本 レジストリサービス 100

101 DO(DNSSEC OK)ビット dig の +dnssec オプション 問 合 せでEDNS0を 使 い DOビットをONにすると 共 に512バイトを 超 えるサイズのDNSパケットを 受 けられることを 宣 言 する DNSSECではEDNS0のサポートは 必 須 DOビット DNSSEC OK DNSSECの 応 答 を 受 ける DNSSECを 要 求 する 権 威 サーバは 問 合 せのDOビットがONであれ ば DNSSECの 情 報 を 含 んだ 応 答 を 返 す Copyright 2010 株 式 会 社 日 本 レジストリサービス 101

102 スマート 署 名 (Smart signing) BIND 9.7での 新 機 能 Copyright 2010 株 式 会 社 日 本 レジストリサービス 102

103 DNSSEC for Humans BIND 9.7から 導 入 された DNSSECの 設 定 をより 簡 単 に 行 う 一 連 の 機 能 スマート 署 名 (Smart signing) 全 自 動 ゾーン 署 名 ( 後 述 ) RFC 5011への 対 応 Dynamic Update 設 定 の 簡 素 化 DLVの 自 動 設 定 スマート 署 名 KSKやZSKの 鍵 管 理 の 自 動 化 Copyright 2010 株 式 会 社 日 本 レジストリサービス 103

104 スマート 署 名 example.jpをnsec3 方 式 で 署 名 # ls example.jp # dnssec-keygen -3 example.jp Generating key pair Kexample.jp # dnssec-keygen -3 -f ksk example.jp Generating key pair Kexample.jp # dnssec-signzone -3 aabbcc -S example.jp Fetching ZSK 31760/NSEC3RSASHA1 from key repository. Fetching KSK 22740/NSEC3RSASHA1 from key repository. Verifying the zone using the following algorithms: NSEC3RSASHA1. Zone signing complete: Algorithm: NSEC3RSASHA1: KSKs: 1 active, 0 stand-by, 0 revoked ZSKs: 1 active, 0 stand-by, 0 revoked example.jp.signed # ls Kexample.jp key dsset-example.jp. Kexample.jp private example.jp Kexample.jp key example.jp.signed Kexample.jp private Copyright 2010 株 式 会 社 日 本 レジストリサービス 104

105 スマート 署 名 dnssec-signzoneの-sオプション 鍵 情 報 を 自 動 的 に 取 り 込 むため ゾーンファイルは 通 常 のゾーンファイル( 非 DNSSEC)のままでよい dnssec-keygenの 便 利 なデフォルト 値 アルゴリズム RSASHA1-3 を 指 定 した 場 合 NSEC3RSASHA1 ZSKのbit 長 1024 bit KSKのbit 長 2048 bit -K 鍵 を 保 存 するディレクトリ(Key repository)を 指 定 するオプション 他 の 鍵 関 連 コマンドでも 指 定 できる Copyright 2010 株 式 会 社 日 本 レジストリサービス 105

106 日 付 情 報 を 指 定 するオプション dnssec-keygenで 鍵 生 成 時 に 指 定 -P ゾーンへの 出 力 時 刻 (Publicatijon date) -R 鍵 の 破 棄 時 刻 (Revocation date) -A 署 名 鍵 としての 使 用 開 始 時 刻 (Activation date) -I 署 名 鍵 使 用 終 了 時 刻 (Inactivation date) -D ゾーンからの 削 除 時 刻 (Deletion date) -Pと-Aのデフォルトは now ( 現 在 時 刻 ) 絶 対 時 刻 : YYYYMMDD 又 は YYYYMMDDHHMMSS 相 対 時 刻 : + 数 字 又 は - 数 字 y, mo, w, d, h, or mi ( 年 月 週 日 時 間 分 )を 指 定 可 能 dnssec-settime - 日 付 情 報 を 変 更 するコマンド Copyright 2010 株 式 会 社 日 本 レジストリサービス 106

107 日 付 を 指 定 して 鍵 を 作 成 (1/2) # mkdir keys 1 # dnssec-keygen -K keys -f ksk example.jp 2 Kexample.jp # dnssec-keygen -K keys -P now -A now -D +31d example.jp 3 Kexample.jp # dnssec-keygen -K keys -P now -A +30d -D +61d example.jp 4 Kexample.jp # dnssec-signzone -K keys N unixtime -S example.jp 5 Fetching KSK 45154/RSASHA1 from key repository. Fetching ZSK 20076/RSASHA1 from key repository. Fetching ZSK 45870/RSASHA1 from key repository. Verifying the zone using the following algorithms: RSASHA1. Zone signing complete: Algorithm: RSASHA1: KSKs: 1 active, 0 stand-by, 0 revoked ZSKs: 1 active, 1 stand-by, 0 revoked example.jp.signed # ls -F 6 dsset-example.jp. example.jp.signed example.jp keys/ Copyright 2010 株 式 会 社 日 本 レジストリサービス 107

108 日 付 を 指 定 して 鍵 を 作 成 (2/2) 1 鍵 用 のディレクトリ(keys)を 作 成 2 KSKを 作 成 3 最 初 に 使 うZSKを 作 成 すぐに 署 名 に 使 用 し 31 日 後 にゾーンから 削 除 4 2 番 目 に 使 うZSKを 作 成 すぐにゾーンに 出 力 30 日 後 に 署 名 に 使 用 5 ゾーンへの 署 名 KSKは1 個 ZSKは1 個 が 署 名 用 1 個 が 事 前 公 開 用 この 例 ではNSEC 方 式 を 採 用 し SOAのシリアルは unixtimeを 使 っている 6 鍵 はkeysディレクトリ 内 にある Copyright 2010 株 式 会 社 日 本 レジストリサービス 108

109 署 名 と 鍵 更 新 の 自 動 化 cron 等 を 利 用 する 定 期 的 に dnssec-keygen で -P, -A, -I, -D を 適 正 に 設 定 したZSKを 作 成 定 期 的 に dnssec-signzone -S で 再 署 名 鍵 更 新 再 署 名 の 自 動 化 が 可 能 になる KSKについても 同 様 の 処 理 が 可 能 但 しDSの 更 新 には 親 ゾーンとのやり 取 りが 必 要 なため 完 全 な 自 動 化 は 難 しい 注 意 : dnssec-keygenで-aを 指 定 する 場 合 必 ず-Pも 指 定 する BIND P3 時 点 での 不 具 合 Copyright 2010 株 式 会 社 日 本 レジストリサービス 109

110 全 自 動 ゾーン 署 名 BIND 9.7での 新 機 能 Copyright 2010 株 式 会 社 日 本 レジストリサービス 110

111 全 自 動 ゾーン 署 名 namedがゾーンへの 署 名 鍵 更 新 を 行 う dnssec-signzoneは 利 用 しない 鍵 にはスマート 署 名 の 場 合 と 同 様 日 付 情 報 を 設 定 する ゾーン 毎 に 次 のいずれかを 設 定 する auto-dnssec allow; 署 名 等 はrndcコマンド 使 って で 別 途 制 御 する( 定 期 的 な 再 署 名 は 行 われる) auto-dnssec maintain; 鍵 ファイルに 記 録 されて いる 日 付 情 報 に 基 づいて 完 全 に 自 動 化 する Copyright 2010 株 式 会 社 日 本 レジストリサービス 111

112 全 自 動 ゾーン 署 名 設 定 の 例 options {... directory "/var/named"; session-keyfile "/var/named/session.key";... }; zone { type master; file "master/example.jp"; key-directory "master/keys"; update-policy local; auto-dnssec maintain; }; Copyright 2010 株 式 会 社 日 本 レジストリサービス 112

113 全 自 動 ゾーン 署 名 設 定 (1/2) session-keyfile ダイナミックアップデートのための 鍵 ファイルの 指 定 指 定 しない 場 合 コンパイル 時 のデフォルトが 適 用 される key-directory スマート 署 名 の-Kで 指 定 するディレクトリと 同 じもの update-policy ダイナミックアップデートのポリシーの 設 定 で ここでは 単 純 な local を 設 定 必 要 に 応 じて 他 のポリシーも 設 定 できる Copyright 2010 株 式 会 社 日 本 レジストリサービス 113

114 全 自 動 ゾーン 署 名 設 定 (2/2) ゾーンファイルは 非 DNSSECのものでよい rndcコマンドが 正 しく 動 作 するよう 設 定 する ゾーンファイル ゾーンファイルのあるディレク トリなどは namedプロセスの 権 限 で 書 き 換 え 可 能 なパーミッションに 設 定 必 要 に 応 じてnamedがファイルを 作 成 したり 書 き 換 えたりするため Copyright 2010 株 式 会 社 日 本 レジストリサービス 114

115 auto-dnssec maintain; named 起 動 後 鍵 ディレクトリ 内 の 鍵 ファイルの 日 付 に 応 じてゾーンに 署 名 を 行 う dnssec-signzone -Sと 同 様 の 動 作 となる KSKとZSKをNSEC3 用 に 設 定 しても デフォルトは NSECとなる(DNSSECとしては 問 題 無 い) NSEC3で 運 用 するための 二 つの 方 法 ダイナミックアップデート(nsupdateコマンド)を 使 い NSEC3PARAMレコードを 追 加 する 追 加 直 後 にNSEC3 方 式 に 切 り 替 わる 予 めゾーンファイルにNSEC3PARAMレコードを 登 録 起 動 直 後 の 最 初 の 署 名 でNSEC3 方 式 になる Copyright 2010 株 式 会 社 日 本 レジストリサービス 115

116 nsupdateコマンド 稼 働 中 のゾーンデータに 動 的 にRRの 追 加 削 除 (ダ イナミックアップデート)を 行 うコマンド NSEC3PARAM RRを 追 加 する 例 # nsupdate -k /var/named/session.key -l > update add example.jp 0 nsec3param AABBCCDD > send > quit # -l (エル)でローカルのnamedを 指 定 更 新 情 報 はジャーナルファイルに 記 録 される この 例 では /var/named/master/example.jp.jnl になる Copyright 2010 株 式 会 社 日 本 レジストリサービス 116

117 全 自 動 ゾーン 署 名 時 の ゾーン 情 報 の 変 更 ゾーンファイルはnamedが 直 接 管 理 するため 単 純 には 編 集 できない 解 1: ダイナミックアップデートを 利 用 する nsupdateコマンドを 利 用 して RRの 追 加 削 除 変 更 を 行 う 解 2: 一 時 的 にnamedがゾーンファイルを 更 新 するのを 停 止 させ 通 常 通 り 編 集 し named のゾーンファイルの 更 新 を 再 開 する Copyright 2010 株 式 会 社 日 本 レジストリサービス 117

118 全 自 動 ゾーン 署 名 の ゾーンファイルの 編 集 一 時 的 にゾーンファイルの 更 新 を 停 止 する # rndc freeze example.jp この 時 点 でnamedが 保 持 しているゾーン 情 報 がすべて example.jpのゾーンファイルに 反 映 される 編 集 する # vi example.jp RRSIGなどが 追 加 されているが 気 にしなくて 良 い ゾーンファイルの 更 新 を 再 開 する # rndc thaw example.jp 再 開 した 時 点 でnamedがゾーンデータを 読 み 込 み 再 署 名 が 行 われる Copyright 2010 株 式 会 社 日 本 レジストリサービス 118

119 鍵 の 追 加 と 署 名 ZSKの 追 加 (KSKも 同 様 ) dnssec-keygenで 日 付 情 報 を 適 正 に 指 定 したZSKを 生 成 し 鍵 のディレクトリに 用 意 する 鍵 ファイルの 追 加 後 rndcコマンドで 鍵 情 報 の 変 更 を namedに 通 知 # rndc loadkeys example.jp dnssec-settimeで 鍵 の 日 付 情 報 を 変 更 した 場 合 も 同 様 の 処 理 が 必 要 DNSSEC 運 用 に 必 須 の 定 期 的 な 再 署 名 は 自 動 的 に 行 われる なんらかの 理 由 により 署 名 を 行 いたい 場 合 # rndc sign example.jp Copyright 2010 株 式 会 社 日 本 レジストリサービス 119

120 全 自 動 ゾーン 署 名 の 注 意 点 DS RRの 作 成 dnssec-signzoneを 利 用 しないため DS RRは KSKの 鍵 ファイルから 作 成 する 必 要 がある # dnssec-dsfromkey Kexample.jp key > dsset-example.jp. 長 期 間 運 用 を 続 けると 鍵 ファイルが 増 える 使 い 終 わった 鍵 ファイルを 削 除 する 仕 組 みを 別 途 用 意 する 必 要 がある スマート 署 名 の 場 合 も 同 じ Copyright 2010 株 式 会 社 日 本 レジストリサービス 120

121 運 用 面 から 見 た 全 自 動 ゾーン 署 名 比 較 的 運 用 が 単 純 化 できる ダイナミックアップデートを 使 う 場 合 は 差 分 情 報 のみ 署 名 されるため ゾーン 情 報 変 更 時 の 負 荷 が 軽 い ゾーンファイル 内 にRRSIGやNSEC 等 が 自 動 的 に 追 加 されるため ゾーンファイルの 更 新 履 歴 を 記 録 しにくい 運 用 実 績 があまり 無 いためトラブルシュート に 対 する 不 安 が 残 る Copyright 2010 株 式 会 社 日 本 レジストリサービス 121

122 運 用 面 から 見 たスマート 署 名 ゾーンファイルの 変 更 履 歴 はとりやすい 署 名 完 了 後 のゾーンファイルをnamedに 読 み 込 ませるため ある 程 度 確 実 な 運 用 ができる dnssec-signzoneには 差 分 署 名 の 機 能 が 無 いため 大 きなゾーンファイルに 対 しては ゾーン 変 更 時 の 署 名 の 負 荷 が 大 きい 但 しDNSSECの 運 用 では 定 期 的 な 再 署 名 が 必 要 であり 再 署 名 時 は 全 署 名 となるため スマー ト 署 名 だから 問 題 になるものではない Copyright 2010 株 式 会 社 日 本 レジストリサービス 122

123 DNSSEC 化 による DNSデータの 変 化 Copyright 2010 株 式 会 社 日 本 レジストリサービス 123

124 DNSSEC 有 無 による 検 索 DNSSEC 無 し $ dig a grep SIZE ;; MSG SIZE rcvd: 157 ( 親 のNSに 問 合 せ) $ dig a grep SIZE ;; MSG SIZE rcvd: 173 ( 自 分 自 身 のNSに 問 合 せ) DNSSEC 有 り $ dig +norec a grep SIZE ;; MSG SIZE rcvd: 414 ( 親 のNSに 問 合 せ) $ dig +norec a grep SIZE ;; MSG SIZE rcvd: 1180 ( 自 分 自 身 のNSに 問 合 せ) Copyright 2010 株 式 会 社 日 本 レジストリサービス 124

125 権 威 サーバへのdigの 結 果 (1/2) +dnssec 無 しのdigの 応 答 ; <<>> DiG <<>> a ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 4 ;; QUESTION SECTION: ;www.nic.se. IN A ;; ANSWER SECTION: 60 IN A ;; AUTHORITY SECTION: nic.se IN NS ns3.nic.se. nic.se IN NS ns2.nic.se. nic.se IN NS ns.nic.se. ;; ADDITIONAL SECTION: ns.nic.se IN A ns.nic.se IN AAAA 2a00:801:f0:53::53 ns2.nic.se IN A ns3.nic.se. 60 IN A ;; Query time: 328 msec ;; SERVER: #53( ) ;; WHEN: Tue Jul 7 23:39: ;; MSG SIZE rcvd: Copyright 2010 株 式 会 社 日 本 レジストリサービス 125

126 権 威 サーバへのdigの 結 果 (2/2) +dnssec 有 り 各 RRにRRSIG RRを 加 えたものが 返 る ; <<>> DiG <<>> +norec a ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5979 ;; flags: qr aa; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 9 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.nic.se. IN A ;; ANSWER SECTION: 60 IN A IN RRSIG A nic.se. izdsohtb1xthccw2wv4tzjl ;; AUTHORITY SECTION: nic.se IN NS ns2.nic.se. nic.se IN NS ns.nic.se. nic.se IN NS ns3.nic.se. nic.se IN RRSIG NS nic.se. pkdbuyxlqppnhlu9nazh ;; ADDITIONAL SECTION: ns.nic.se IN A ns.nic.se IN AAAA 2a00:801:f0:53::53 ns2.nic.se IN A ns3.nic.se. 60 IN A ns.nic.se IN RRSIG A nic.se. GzLodvUOd0oB4qfhhbp8H ns.nic.se IN RRSIG AAAA nic.se. 0tvno8Vz7Ihm27AZ+H ns2.nic.se IN RRSIG A nic.se. UcEcYGX59H8bAVGwhfwko ns3.nic.se. 60 IN RRSIG A nic.se. NRoFeFzAm0hoyKa2ObxjCfB ;; Query time: 382 msec ;; SERVER: #53( ) ;; WHEN: Tue Jul 7 23:39: ;; MSG SIZE rcvd: 1180 注 意 :RRSIGは 行 の 途 中 まで 残 り 省 略 Copyright 2010 株 式 会 社 日 本 レジストリサービス 126

127 DNSSEC 有 無 による 存 在 しないドメイン 名 の 検 索 example.jp +dnssec 無 し $ dig example.jp a grep SIZE ;; MSG SIZE rcvd: 75 example.jp +dnssec 有 り $ dig +norec example.jp a grep SIZE ;; MSG SIZE rcvd: 741 注 意 : example.jpは 存 在 しないドメイン 名 Copyright 2010 株 式 会 社 日 本 レジストリサービス 127

128 DNSSEC 対 応 になると 署 名 の 付 加 によりゾーンデータが 大 きくなる 5~10 倍 程 度 ( 鍵 のbit 長 に 依 存 ) プライマリが 署 名 すると セカンダリにもインパクトがある DNS 応 答 パケットのサイズが 大 きくなる DNSトラフィックが 増 える キャッシュサーバのキャッシュ 効 率 が 落 ちる 特 に 存 在 しない 名 前 の 検 索 では 顕 著 DNSSEC 対 応 のキャッシュサーバの 実 装 では DNSSEC 設 定 を 行 わなくてもDOビットはONとなる Copyright 2010 株 式 会 社 日 本 レジストリサービス 128

129 何 故 DOビットは 常 時 ONなのか キャッシュサーバ 自 身 では 署 名 検 証 を 行 わなくても 他 の 署 名 検 証 を 行 うもの(バリデータ)のために 署 名 があれば 対 象 レコードと 同 時 にキャッシュ 1クライアント 2 バリデータ 3 DNSSEC 対 応 キャッシュサーバ 4 DNSSEC 対 応 ゾーンの 権 威 サーバ DNSSECにおいて 署 名 検 証 が 独 立 したモデル 2が 署 名 検 証 を 行 うキャッシュサーバで3をフォワード 先 として 指 定 している 場 合 や 2は 存 在 せず1のクライアン トが 直 接 署 名 検 証 を 行 う 場 合 等 Copyright 2010 株 式 会 社 日 本 レジストリサービス 129

130 DOビットが 常 時 ONのインパクト 問 合 せ1 回 あたりの 応 答 パケットが 大 きくなる DNSのトラフィックが 増 加 する キャッシュサーバではキャッシュに 必 要 なメモ リ 量 が 増 える 場 合 によっては キャッシュできるレコード 数 が 減 り キャッシュ 効 率 に 影 響 する 手 元 のDNSSEC 設 定 とは 関 係 なく DNSSECの 普 及 度 によって 影 響 する Copyright 2010 株 式 会 社 日 本 レジストリサービス 130

131 DNSSECのリスク Copyright 2010 株 式 会 社 日 本 レジストリサービス 131

132 DNSSEC 化 による 負 荷 の 増 加 (1) 権 威 DNSサーバ 側 署 名 を 作 成 するための 負 荷 但 し DNSサーバと 別 サーバでの 処 理 が 可 能 署 名 が 負 荷 によるDNSデータを 保 持 するためのメモリ 量 の 増 加 応 答 にRRSIGを 付 加 するための 処 理 キャッシュDNSサーバ 側 署 名 検 証 の 負 荷 但 し 署 名 検 証 は キャッシュ 時 に 行 われ キャッシュ 済 み であれば 改 めて 署 名 検 証 することは 無 い 署 名 データもキャッシュするためメモリ 使 用 量 の 増 加 Copyright 2010 株 式 会 社 日 本 レジストリサービス 132

133 DNSSEC 化 による 負 荷 の 増 加 (2) キャッシュ 権 威 DNSサーバ 共 通 の 負 荷 NSEC3 方 式 の 場 合 ハッシュ 計 算 コスト DNSSEC 対 応 によって 同 じサーバであれば 処 理 能 力 は3~5 割 程 度 減 少 する 条 件 によって 大 きく 変 化 する メモリ 使 用 量 は5~10 倍 程 度 増 加 署 名 検 証 する しないとは 独 立 に 起 きる Copyright 2010 株 式 会 社 日 本 レジストリサービス 133

134 DNSSECの 署 名 検 証 の 失 敗 署 名 検 証 に 失 敗 した 場 合 名 前 解 決 不 能 DNSSECは 嘘 を 識 別 する 技 術 正 しいものを 探 し 出 す 技 術 ではない 署 名 検 証 が 失 敗 する 主 な 要 因 鍵 を 取 り 違 えた 上 位 に 登 録 するDSを 誤 った 署 名 開 始 前 の 鍵 を 作 った 時 点 で 上 位 にDSを 登 録 した 署 名 の 有 効 期 間 を 過 ぎた etc Copyright 2010 株 式 会 社 日 本 レジストリサービス 134

135 サーバ 時 刻 の 同 期 の 必 要 性 署 名 には 有 効 期 間 があり 有 効 期 間 外 は 無 効 有 効 期 間 の 開 始 時 刻 終 了 時 刻 は 絶 対 時 刻 署 名 が 正 しくてもサーバの 時 刻 が 極 端 に 違 うと 署 名 検 証 に 失 敗 する DNSSEC 運 用 を 行 う 場 合 サーバの 時 刻 を 正 しく 合 わせる 必 要 がある NTPなどを 利 用 するのが 確 実 実 用 上 は 分 程 度 まで 合 っていれば 問 題 ない Copyright 2010 株 式 会 社 日 本 レジストリサービス 135

136 DNSSECのまとめ Copyright 2010 株 式 会 社 日 本 レジストリサービス 136

137 従 来 (DNSSEC 無 し)との 比 較 (1) ゾーン 管 理 ( 権 威 サーバ) 側 ZSKとKSKを 作 成 し 管 理 する 必 要 がある ゾーンに 署 名 を 行 う 必 要 がある 定 期 的 に 鍵 の 更 新 を 行 う 必 要 がある 子 ゾーンでは 親 ゾーンにDSの 登 録 作 業 を 行 う 必 要 がある(KSKを 変 更 する 度 に 必 要 ) 鍵 管 理 の 手 間 と ゾーン 署 名 のコストが 増 え るが ある 程 度 は 自 動 化 可 能 Copyright 2010 株 式 会 社 日 本 レジストリサービス 137

138 従 来 (DNSSEC 無 し)との 比 較 (2) キャッシュサーバ 側 DNSSEC 機 能 を 有 効 にし トラストアンカーを 設 定 する 必 要 に 応 じてトラストアンカーを 更 新 する 署 名 検 証 による 負 荷 の 増 大 の 懸 念 がある 双 方 でサーバの 時 刻 を 正 しく 設 定 する Copyright 2010 株 式 会 社 日 本 レジストリサービス 138

139 DNSSECまとめ DNSSECは 公 開 鍵 暗 号 技 術 を 利 用 した 署 名 によるDNSデータ 保 護 のしくみ KSKとZSKの2つの 鍵 を 使 う 親 ゾーンにはNSに 加 えてDSを 登 録 する rootゾーンのkskの 公 開 鍵 を 使 って 署 名 を 検 証 定 期 的 な 鍵 の 更 新 と 再 署 名 とが 必 要 Copyright 2010 株 式 会 社 日 本 レジストリサービス 139

140 Q and A Copyright 2010 株 式 会 社 日 本 レジストリサービス 140

141 参 考 :DNSSEC 関 連 ツール Copyright 2010 株 式 会 社 日 本 レジストリサービス 141

142 OpenDNSSEC DNSSECの 運 用 に 必 要 な 作 業 の 多 くを 自 動 化 するツール 集 定 期 的 なゾーンの 再 署 名 鍵 更 新 等 TLDや 大 量 のDNSSEC 対 応 ゾーンを 扱 う 場 合 に 適 している rootゾーン SE UK 等 で 採 用 多 くの 関 連 ソフトウェアを 別 途 インストールす る 必 要 があり インストールに 手 間 がかかる Copyright 2010 株 式 会 社 日 本 レジストリサービス 142

143 DNSSECで 役 立 つWEBサイト DNSSEC Debugger DNSSECの 署 名 が 正 しいかどうかを 確 認 する A DNS visualization tool DNSSECの 信 頼 の 連 鎖 を 図 で 表 示 する 利 用 中 のキャッシュDNSサーバがDNSSEC 対 応 かどうかを 教 えてくれるサイト Copyright 2010 株 式 会 社 日 本 レジストリサービス 143

144 参 考 : 電 子 署 名 とDNSSEC Copyright 2010 株 式 会 社 日 本 レジストリサービス 144

145 電 子 署 名 の 概 念 送 信 者 暗 号 化 ( 署 名 ) 圧 縮 ハッシュ 値 署 名 送 信 者 の 秘 密 鍵 ( 送 信 者 のみ 保 持 ) 送 信 データ 攻 撃 者 データを 改 ざんできても 対 応 する 署 名 を 作 成 できない 送 信 データ 送 信 署 名 データ 送 信 送 信 者 の 公 開 鍵 ( 受 信 者 に 安 全 に 配 布 ) 受 信 データ 受 信 署 名 圧 縮 復 号 受 信 者 受 信 データから 受 信 者 が 作 成 した ハッシュ 値 受 信 した 署 名 から 復 号 した ハッシュ 値 照 合 ( 検 証 ) Copyright 2010 株 式 会 社 日 本 レジストリサービス 145

146 電 子 署 名 の 概 念 送 信 者 の 秘 密 鍵 で 送 信 データのハッシュ 値 を 暗 号 化 したものが 署 名 公 開 鍵 で 署 名 を 復 号 すれば 送 信 者 作 成 のハッシュ 値 が 得 られる 受 信 データから 受 信 者 が 作 成 したハッシュ 値 と 公 開 鍵 で 復 号 したハッシュ 値 が 同 じであるか 照 合 ( 検 証 )する 同 じであれば 送 信 者 からの 完 全 なデータであると 判 断 できる 署 名 を 作 成 できるのは 送 信 者 しかいない( 出 自 の 保 証 ) データが 改 ざんされていれば 比 較 が 一 致 しない( 完 全 性 の 保 証 ) Copyright 2010 株 式 会 社 日 本 レジストリサービス 146

147 電 子 署 名 のDNSへの 応 用 (DNSSEC) DNS 管 理 者 ( 権 威 サーバ) 暗 号 化 ( 署 名 ) 圧 縮 ハッシュ 値 署 名 DNS レコード DNS 管 理 者 の 秘 密 鍵 (DNS 管 理 者 のみ 保 持 ) 攻 撃 者 DNSレコードを 改 ざんできても 対 応 する 署 名 を 作 成 できない 送 信 レコード 送 信 署 名 DNS 検 索 DNS 管 理 者 の 公 開 鍵 (DNS 検 索 中 に 入 手 ) 受 信 レコード 受 信 署 名 DNS 検 索 者 (キャッシュサーバ) 圧 縮 復 号 受 信 レコードから 検 索 者 が 作 成 した ハッシュ 値 受 信 した 署 名 から 復 号 した ハッシュ 値 照 合 ( 検 証 ) Copyright 2010 株 式 会 社 日 本 レジストリサービス 147

148 電 子 署 名 のDNSへの 応 用 (DNSSEC) DNS 管 理 者 は 署 名 鍵 ( 秘 密 鍵 + 公 開 鍵 )を 作 成 DNS 管 理 者 は DNSレコード(ハッシュ 値 )を 秘 密 鍵 で 署 名 検 索 を 受 けたDNSサーバは DNSレコードに 署 名 を 添 付 して 応 答 DNS 検 索 者 は DNS 管 理 者 の 公 開 鍵 を 用 いて 署 名 を 復 号 し 検 索 で 得 たDNSレコードと 照 合 することで 出 自 完 全 性 を 検 証 この 仕 組 みを 基 本 単 位 とし DNS 階 層 で 信 頼 の 連 鎖 を 作 ることで 実 現 Copyright 2010 株 式 会 社 日 本 レジストリサービス 148

スマート署名(Smart signing) BIND 9.7での新機能

スマート署名(Smart signing) BIND 9.7での新機能 BIND 9.7 の新機能を利用した 権威 DNS サーバの運用 スマート署名 全自動ゾーン署名 1 DNSSEC for Humans BIND 9.7 から導入された DNSSEC の設定をより簡単に行う一連の機能 スマート署名 全自動ゾーン署名 RFC 5011 への対応 Dynamic Update 設定の簡素化 DLV の自動設定 2 スマート署名 3 スマート署名の利用例 (example.jp

More information

Microsoft PowerPoint - bind-97-20091124.ppt

Microsoft PowerPoint - bind-97-20091124.ppt JAPAN REGISTRY SERVICES DNSSECの 拡 張 と BIND 9.7の 新 機 能 小 規 模 なDNSSEC 遊 びその 後 藤 原 和 典 2009/11/24 dnsops.jp BoF Copyright 2009 株 式 会 社 日 本 レジストリサービス 1 DNSSECを 拡

More information

DNSSECチュートリアル

DNSSECチュートリアル DNSSECチュートリアル 民 田 雅 人 株 式 会 社 日 本 レジストリサービス Internet Week 2009 - H3 2009-11-24 Copyright 2009 株 式 会 社 日 本 レジストリサービス 1 目 次 DNS 編 BIND 9の 設 定 DNSのIPv6 対 応 DNSのリスク 編 DNSキャッシュポイズニング 従 来 型 の 毒 入 れ 攻 撃 手 法 短

More information

初心者のためのDNSの設定とよくあるトラブル事例

初心者のためのDNSの設定とよくあるトラブル事例 初 心 者 のためのDNS 運 用 入 門 - トラブルとその 解 決 のポイント - 2013 年 7 月 19 日 DNS Summer Days 2013 株 式 会 社 日 本 レジストリサービス(JPRS) 水 野 貴 史 Copyright 2013 株 式 会 社 日 本 レジストリサービス 1 講 師 自 己 紹 介 氏 名 : 水 野 貴 史 (みずの たかふみ) 生 年 月 日

More information

JAIPA-DNSSEC

JAIPA-DNSSEC # yum -y install gcc openssl-devel $ wget http://ftp.isc.org/isc/bind9/9.7.2-p2/ bind-9.7.2-p2.tar.gz $ tar zxf bind-9.7.2-p2.tar.gz $ cd bind-9.7.2-p2/ $./configure --with-openssl --disableopenssl-version-check

More information

Microsoft PowerPoint - private-dnssec

Microsoft PowerPoint - private-dnssec JAPAN REGISTRY SERVICES いますぐ DNSSEC で遊ぶには --- 世の中が対応するまで待ってられない --- JPRS / 株式会社日本レジストリサービス 藤原和典 2009/9/4 dnsops.jp BoF Copyright 2009 株式会社日本レジストリサービス 1 いますぐ DNSSEC で遊びたい 使ってる TLD

More information

初心者のためのDNSの設定とよくあるトラブル事例

初心者のためのDNSの設定とよくあるトラブル事例 DNSチュートリアル - 初 心 者 のためのDNS 運 用 入 門 - 2015 年 1 月 14 日 JANOG35 Meeting 株 式 会 社 日 本 レジストリサービス(JPRS) 久 保 田 秀 Copyright 2015 株 式 会 社 日 本 レジストリサービス 1 本 日 の 内 容 1. DNSの 基 礎 知 識 とトラブルシューティングの 基 本 DNSの 全 体 構 成

More information

JPドメイン名におけるDNSSECについて

JPドメイン名におけるDNSSECについて JPドメイン 名 におけるDNSSECについて JP DPSの 作 成 を 切 り 口 に 森 健 太 郎 株 式 会 社 日 本 レジストリサービス 本 資 料 について 本 資 料 は 2011 年 7 月 12 日 に 開 催 されたJPNICセミナー 組 織 におけるDNSSECの 姿 ~ICANN 大 久 保 智 史 氏 を 迎 えて ~ の 講

More information

Part 1 Part 2 Part 3 Part 1 STEP 0 1 STEP 02 66 // options options { directory "/var/named/"; // zone zone "." { type hint; file "named.root"; // 0.0.127.in-addr.arpa zone zone "0.0.127.in-addr.arpa"

More information

DNSを「きちんと」設定しよう

DNSを「きちんと」設定しよう DNS WIDE Project DNS DAY - Internet Week 2002 BIND DNS 2 DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc DNS 4 2 (1) www.example.jp IP 10.100.200.1 10.20.30.40 ftp.example.jp

More information

スライド 1

スライド 1 キャッシュ DNS の DNSSEC 対応 2012 年 11 月 21 日 三洋 IT ソリューションズ株式会社 SANNET BU 技術運用チーム 其田学 アジェンダ 2 DNSSEC に対応したキャッシュ DNS とは 検証の仕組み構築方法 構築前の確認事項 ROOT ゾーンのトラストアンカー キャッシュ DNS サーバの設定運用 監視 ログ項目 トラブルシューティング 3 DNSSEC に対応したキャッシュ

More information

キャッシュポイズニング攻撃対策

キャッシュポイズニング攻撃対策 キャッシュポイズニング 攻 撃 対 策 : キャッシュDNSサーバー 運 用 者 向 け 基 本 対 策 編 初 版 作 成 :2014 年 4 月 30 日 最 終 更 新 :2014 年 4 月 30 日 株 式 会 社 日 本 レジストリサービス(JPRS) Copyright 2014 株 式 会 社 日 本 レジストリサービス 1 本 資 料 の 位 置 づけ 本 資 料 は 以 下 の

More information

上位 DNS の設定 YaST > Network Device > Network Card > HostName and DNS Server を開き DNS サーバとなる自分自身と上位となる ( プロバイダの指定 あるいは社内のマスター )DNS サーバを確認します この結果は /etc/re

上位 DNS の設定 YaST > Network Device > Network Card > HostName and DNS Server を開き DNS サーバとなる自分自身と上位となる ( プロバイダの指定 あるいは社内のマスター )DNS サーバを確認します この結果は /etc/re SUSE Linux Enterprise 10 内部 DNS 設定手順 この文書では 構内ネットワークの DNS キャッシュと LAN 内コンピュータの名前解決を目的とした DNS の設定手順を説明します DNS 設定前のチェック項目 HOSTNAME YaST > Network Service > HOSTNAMES に ホスト名. ゾーン名 が記述されていることを確認します この情報は /

More information

DNSSEC性能確認手順書v1.2

DNSSEC性能確認手順書v1.2 DNSSEC 性能確認手順書 ver. 1.2 1. 目的 DNSSEC 検証によるフルリゾルバへの負荷 および権威 DNS サーバへのトラフィックの変化を把握する フルリゾルバと権威 DNS サーバ間の通信路にある機器の影響を把握する 現在想定できる一般的な構成のハードウェア上での権威サーバの基本性能を計測する 2. 検証環境 2.1. サーバ構成 Validatorの検証および計測を行うためのネームサーバおよび負荷の構成は次のとおりである

More information

DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( ) IP IP DNS 4

DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( )  IP IP DNS 4 DNS minmin@jprs.co.jp DNS DAY Internet Week 2003 ( ) 2 DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( ) www.example.jp IP IP 10.20.30.40 DNS 4 PC /etc/resolv.conf

More information

DNS (BIND, djbdns) JPNIC・JPCERT/CC Security Seminar 2005

DNS (BIND, djbdns)  JPNIC・JPCERT/CC Security Seminar 2005 DNS 2005 10 6 JPNIC JPCERT/CC Security Seminar 2005 DNS Pharming BIND djbdns 2 DNS DNS (Domain Name System)? IP www.example.jp IP 172.16.37.65 http://www.example.jp/ - http://172.16.37.65/

More information

Root KSK更新に対応する方法

Root KSK更新に対応する方法 Root KSK 更新に 対応する方法 東京大学 総合文化研究科 石原知洋 概要 Root KSK Rollover とは? 更新方法 自動更新 : RFC5011: Automated Updates of DNS Security (DNSSEC) Trust Anchors DNSSEC トラストアンカーの自動更新 Root KSK 更新とは? DNSSEC の ( というより世の中の ) 鍵は定期的な更新が必要

More information

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション 株式会社ブロードバンドタワー 大本貴 ( 題字は http://to-a.ru にて作成 ) 自己紹介 職歴 2000 年インターネット総合研究所入社 2001 年プロデュースオンデマンド (PoD) に出向 ストリーミング配信技術担当 2007 年インターネット総合研究所に帰任 主に社内システムのサーバ運用 コンサルなど 2010 年春からDNSSECジャパンの活動に参加 2010 年ブロードバンドタワーに転籍

More information

enog-ryuichi

enog-ryuichi 君 のキャッシュDNSサーバが 出 すクエリ を 君 は 本 当 に 理理 解 しているか? あ でもそのうちそうなっちゃうかも? ~QNAME Minimisation の 話 ~ ENOG34@ 柏 崎 2015 年年 9 月4 日 DMM.comラボ 高 嶋 隆 一 おさらい. ドメイン 名 は 階 層 構 造 を 持 つ 酔 っ 払 い. JP.. ü 木 構 造 っぽい com org 酔

More information

Microsoft PowerPoint - BIND9新機能.ppt

Microsoft PowerPoint - BIND9新機能.ppt BIND9 の最新動向 株式会社日本レジストリサービス坂口智哉 1 目次 1. BIND9.9 の主な新機能と変更点 2. バージョンアップ時の応答内容の比較 3. ゾーン転送中のクエリ処理性能 Copyright 2012 株式会社日本レジストリサービス 2 注意事項 本資料の機能は 執筆時点の最新リリース (BIND9.9.1-P2) を前提としたものです 本資料に登場する性能評価は あくまで

More information

JP DNSSEC Update

JP DNSSEC Update 重 複 をお 許 しください ができるまで 2011 年 4 月 20 日 DNSOPS.JP BoF 株 式 会 社 日 本 レジストリサービス 森 下 泰 宏 (Orange) Copyright 2011 株 式 会 社 日 本 レジストリサービス 1 本 日 の 内 容 重 複 をお 許 しください とは 生 い 立 ちと 状 況 なぜいつも 同 じ 書 き 出 しなのか? 重 複 をお 許

More information

BIND 9 BIND 9 IPv6 BIND 9 view lwres

BIND 9 BIND 9 IPv6 BIND 9 view lwres DNS : BIND9 ( ) /KAME jinmei@{isl.rdc.toshiba.co.jp, kame.net} Copyright (C) 2001 Toshiba Corporation. BIND 9 BIND 9 IPv6 BIND 9 view lwres BIND 3 : 4, 8, 9 BIND 4 BIND 8 vs BIND 9 BIND 9 IPv6 DNSSEC BIND

More information

初心者のためのDNSの設定とよくあるトラブル事例

初心者のためのDNSの設定とよくあるトラブル事例 初心者のための DNS 運用入門 - トラブル事例とその解決のポイント - 2014 年 6 月 26 日 DNS Summer Days 2014 株式会社日本レジストリサービス (JPRS) 水野貴史 Copyright 2014 株式会社日本レジストリサービス 1 講師自己紹介 氏名 : 水野貴史 ( みずのたかふみ ) 生年月日 :1988 年 3 月 3 日 (26 歳 ) 所属 : 株式会社日本レジストリサービス

More information

経 緯

経 緯 頂 上 は 如 何 に 攻 略 されたか ~ ルートゾーン キャッシュポイズニング ~ 2014.06.05 IEICE 中 京 大 学 工 学 部 鈴 木 常 彦 * QMAIL.JP 前 野 年 紀 経 緯 2/15 co.jp への 毒 入 れ 前 野 氏 : *.co.jp をJPサーバに 問 い 合 わせたときに co.jp が 委 譲 されているかのような 返 事 をすると キャッシュにないことは

More information

目 次 1. サービス 概 要... 1 2. 提 供 機 能... 2 DNS ゾーン... 2 正 引 き 逆 引 き... 2 レコードタイプ... 2 初 期 ゾーン... 3 コントロールパネル 操 作 メニュー 一 覧... 3 3. コントロールパネル... 4 3-1 ユーザ 認 証

目 次 1. サービス 概 要... 1 2. 提 供 機 能... 2 DNS ゾーン... 2 正 引 き 逆 引 き... 2 レコードタイプ... 2 初 期 ゾーン... 3 コントロールパネル 操 作 メニュー 一 覧... 3 3. コントロールパネル... 4 3-1 ユーザ 認 証 DNS アウトソーシング コントロールパネル 操 作 マニュアル Version 1.0 NTTPC コミュニケーションズ 2015/2/17 1 目 次 1. サービス 概 要... 1 2. 提 供 機 能... 2 DNS ゾーン... 2 正 引 き 逆 引 き... 2 レコードタイプ... 2 初 期 ゾーン... 3 コントロールパネル 操 作 メニュー 一 覧... 3 3. コントロールパネル...

More information

DNSブロッキンガイドライン

DNSブロッキンガイドライン DNS ブロッキングによる 児 童 ポルノ 対 策 ガイドライン 第 2 版 2012 年 11 月 2 日 安 心 ネットづくり 促 進 協 議 会 調 査 研 究 委 員 会 児 童 ポルノ 対 策 作 業 部 会 ISP 技 術 者 サブワーキンググループ 改 訂 履 歴 版 数 発 行 日 改 訂 履 歴 第 1 版 2011 年 4 月 28 日 初 版 発 行 第 2 版 2012 年

More information

「DNSキャッシュポイズニング対策」スライド部分の抜粋

「DNSキャッシュポイズニング対策」スライド部分の抜粋 DNS キャッシュポイズニング 対 策 ~DNSの 役 割 と 関 連 ツールの 使 い 方 ~ 1. DNSキャッシュポイズニング 2. DNSの 動 作 と 関 連 ツール 3. 検 査 ツールの 使 い 方 と 注 意 点 4. 再 帰 動 作 の 設 定 1. DNSキャッシュポイズニング 1.1 DNSの 仕 組 み 1.2 DNSキャッシュポイズニング 1 1.1 DNSの 仕 組 み

More information

DNS設定ツールご利用マニュアル

DNS設定ツールご利用マニュアル DNS 設 定 ツール 操 作 マニュアル 平 成 26 年 5 月 12 日 第 1.3 版 アルテリア ネットワークス 株 式 会 社 目 次 1. はじめに... 3 2. 動 作 環 境 と 操 作 上 の 注 意 事 項... 3 2.1. 動 作 環 境... 3 2.2. 操 作 上 の 注 意 事 項... 3 3. 開 始 と 終 了... 4 3.1. 開 始... 4 3.2.

More information

2/10 ページ 医 者 : すいませんが 少 々お 待 ち 下 さい 主 婦 : はぁ... 医 者 : カタカタカタカタ (AWS SDK Java をセットアップ 中 下 記 をご 参 照 下 さい ) サンプルコード 使 用 例 (インストール& DNS 編 ) 主 婦 : カルテを 書 き

2/10 ページ 医 者 : すいませんが 少 々お 待 ち 下 さい 主 婦 : はぁ... 医 者 : カタカタカタカタ (AWS SDK Java をセットアップ 中 下 記 をご 参 照 下 さい ) サンプルコード 使 用 例 (インストール& DNS 編 ) 主 婦 : カルテを 書 き 1/10 ページ 2013/07/02 AWS SDK Java で 使 おう(CNAME 編 )... 診 察 室 にて 医 者 : 次 の 方 どうぞ 主 婦 : よろしくお 願 いします 医 者 : どうされましたかな? 主 婦 : あのー 高 血 圧 のせいだと 思 うのですが 頭 がクラクラするんです 右 に 行 けばいいのか 左 に 行 けばいいのか 結 論 が 出 ないのです 医 者

More information

新しいDNSサーバ、 NSDの紹介

新しいDNSサーバ、 NSDの紹介 DNS NSD 2004 8 30 124 jus kohi@iri.co.jp NSD NLnet Labs RIPE/NCC DNS 2002 4 1.0.0-2003 6 16 1.0.3 2.1.2(2004 7 30 ) h.root-servers.net k.root-servers.net NSD 2004 8 30 Copyright(c) 2004 Koh-ich Ito 2 2004

More information

(Microsoft PowerPoint - D-SPA_NTML\224F\217\330\202\311\202\302\202\242\202\30420120621.pptx)

(Microsoft PowerPoint - D-SPA_NTML\224F\217\330\202\311\202\302\202\242\202\30420120621.pptx) option i-filter for D-SPA NTLM 認 証 - 基 本 設 定 説 明 資 料 デジタルアーツ 株 式 会 社 営 業 部 セールスエンジニア 課 NTLM 認 証 のメリット シングルサインオンによるWebアクセス 管 理 を 実 現! 認 証 サーバー 上 のグループ 情 報 を 用 いたルール 振 り 分 けも 可 能 ユーザー 追 加 削 除 時 などの 運 用 管

More information

OpenDNSSECチュートリアル

OpenDNSSECチュートリアル OpenDNSSEC チュートリアル @DNSOPS.JP BoF(2009.11.24) NRIセキュアテクノロジーズ株式会社エンタープライズセキュリティサービス部中島智広 (nakashima@nri-secure.co.jp) はじめに 概要 本発表は煩雑な DNSSEC 運用を楽にするためのソフトウェアである OpenDNSSEC の概要と導入方法をまとめたものです おことわり 内容には十分配慮していますが

More information

rndc BIND

rndc BIND rndc ローカル上 またはリモート上にある BIND9 を制御するツール rndc の仕組仕組み 制御メッセージ rndc コマンド 読み込み /.conf( 相手のホスト名と共有鍵の指定 ) または /.key( 共有鍵の指定 ) rndc の共通鍵と一致していれば rndc からの命令を受け付ける named サービス # vi named.conf 1 共有鍵の設定 keys ステートメントで直接記入または

More information

RFC4641_and_I-D2.pdf

RFC4641_and_I-D2.pdf RFC 4641 SWG 1 Appendix A. Terminology Anchored key DNSKEY hard anchor (ed) Bogus RFC 4033 5 RRSet DNSKEY RRSet Bogus 2 Appendix A. Terminology Key Signing Key KSK Key Signing Key(KSK) zone apex key set

More information

rndc BIND DNS 設定 仕組み

rndc BIND DNS 設定 仕組み rndc ローカル上 またはリモート上にある BIND9 を制御するツール主に 設定の再読み込み named サービスの停止 ( 起動はできない ) 統計情報の表示 キャッシュのクリアなどのために使用する rndc の仕組仕組み rndc コマンドを実行する端末は 同じ端末 ( サーバ ) 上の named サービス または外部のサーバ上の named サービスの制御をすることができる rndc の設定

More information

Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作

Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作 Active! mail 6.54 ユーザーズマニュアル(スマートフォン 版 ) Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作 権 の 侵 害 とな

More information

DIACERTサービス利用規約

DIACERTサービス利用規約 DIACERT サービス 利 用 規 約 ( 利 用 者 同 意 書 ) 2015 年 12 月 8 日 版 第 1 条 ( 総 則 ) 1. DIACERT サービス 利 用 規 約 ( 以 下 本 規 約 という )は ジャパンネット 株 式 会 社 ( 以 下 当 社 という )が 提 供 する DIACERT サービス ( 以 下 本 サービス という )の 利 用 に 関 し て 定 めたものです

More information

Press Release english

Press Release english モバイル クライアントの 基 本 認 証 QlikView テクニカル ブリーフ Published: November, 2011 www.qlikview.com はじめに QlikView Server をインストールする 際 標 準 セキュリティ 構 成 ではユーザー 表 示 に Windows アカウントが ユー ザーの 認 証 に NTLM が 使 用 されます ローカル エリア ネットワーク

More information

<4D6963726F736F667420506F776572506F696E74202D20325F49524D2082CC82B28FD089EE2E7070745B93C782DD8EE682E890EA97705D205B8CDD8AB78382815B83685D>

<4D6963726F736F667420506F776572506F696E74202D20325F49524D2082CC82B28FD089EE2E7070745B93C782DD8EE682E890EA97705D205B8CDD8AB78382815B83685D> EMC Documentum IRM の ご 紹 介 EMCジャパン 株 式 会 社 インフォメーションインテリジェンス 事 業 本 部 1 EMCのアプローチ(1/2) 場 所 で 制 御 する 従 来 型 方 式 にプラスし, ファイルで 制 御 する 鍵 方 式 (Documentum IRM)を 採 用 することにより さらに 堅 牢 なセキュリティシステム を 実 現 場 所 で 制 御

More information

コンテンツキャッシュを活用してWebサーバーの負荷を下げたい:IDCFクラウド活用マニュアル

コンテンツキャッシュを活用してWebサーバーの負荷を下げたい:IDCFクラウド活用マニュアル IDCFクラウド 活 用 マニュアル コンテンツキャッシュを 活 用 してWebサーバーの 負 荷 を 下 げたい コンテンツキャッシュを 活 用 してWebサーバーの 負 荷 を 下 げたい 目 次 (1) Webサーバー(オリジンサーバー)の 作 成 と 設 定... 3 (2) DNSの 設 定... 9 (3) コンテンツキャッシュの 設 定... 15 Column:HTTPSを 使 用

More information

AirStationPro初期設定

AirStationPro初期設定 AirStationPro 初 期 設 定 AirStationProの 検 索 1.エアステーション 設 定 ツールVer.2を 立 ち 上 げて 次 へ をクリックする 注 )エアステーション 設 定 ツールVer.2は 製 品 に 付 属 しているCD からインストールす るか http://buffalo.jp/do wnload/driver/lan/ai rnavilite.htmlにある

More information

(Microsoft PowerPoint - No.1 20151029\203}\203C\203i\203\223\203o\201[\202\311\221\316\211\236\202\265\202\275\203Z\203L\203\205\203\212\203e\203B.pptx)

(Microsoft PowerPoint - No.1 20151029\203}\203C\203i\203\223\203o\201[\202\311\221\316\211\236\202\265\202\275\203Z\203L\203\205\203\212\203e\203B.pptx) マイナンバーに 対 応 した 情 報 システム 設 計 と セキュリティ 対 策 立 命 館 大 学 情 報 理 工 学 部 上 原 哲 太 郎 情 報 システムと 法 情 報 システムが 法 的 義 務 を 満 たす 必 要 がある 例 が 増 えてきている 特 定 電 子 メール 法 や 特 定 商 取 引 法 における 表 示 義 務 割 賦 販 売 法 におけるクレジット 番 号 の 安 全

More information

Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作

Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作 Active! mail 6.52 ユーザーズマニュアル(スマートフォン 版 ) Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作 権 の 侵 害 とな

More information

本 日 の 講 演 内 容 ウェブ 改 ざんの 事 例 改 ざんの 原 因 (サーバ 側 ftpクライアント 側 ) 防 ぐための 管 理 (サーバ 側 ftpクライアント 側 ) 気 づくための 管 理 改 ざん 被 害 発 生 時 の 対 処 1

本 日 の 講 演 内 容 ウェブ 改 ざんの 事 例 改 ざんの 原 因 (サーバ 側 ftpクライアント 側 ) 防 ぐための 管 理 (サーバ 側 ftpクライアント 側 ) 気 づくための 管 理 改 ざん 被 害 発 生 時 の 対 処 1 ISOG-J 主 催 セミナー 事 例 から 学 ぶ!ウェブ 改 ざんの 実 態 と 対 策 ウェブ 改 ざんによる 被 害 とその 対 策 2013 年 12 月 12 日 独 立 行 政 法 人 情 報 処 理 推 進 機 構 技 術 本 部 セキュリティセンター 岡 野 裕 樹 本 日 の 講 演 内 容 ウェブ 改 ざんの 事 例 改 ざんの 原 因 (サーバ 側 ftpクライアント 側 )

More information

自 己 紹 介 l Nominum 社 の 商 用 DNS,DHCPソフトウェアの 技 術 を 担 当 しています Nominumの 回 し 者 ではありません l l プライベート DNS(Nominum 除 く) unbound, PowerDNS, BIND10とたわむれています DNS 以

自 己 紹 介 l Nominum 社 の 商 用 DNS,DHCPソフトウェアの 技 術 を 担 当 しています Nominumの 回 し 者 ではありません l l プライベート DNS(Nominum 除 く) unbound, PowerDNS, BIND10とたわむれています DNS 以 フリーのDNS ストレスツール の 紹 介 dnsperf ( 開 発 元 Nominum), dnstcpbench( 開 発 元 Nether Labs) 2013/7/18 SCSK 株 式 会 社 服 部 成 浩 ( s.hattori@scsk.jp ) 自 己 紹 介 l Nominum 社 の 商 用 DNS,DHCPソフトウェアの 技 術 を 担 当 しています Nominumの 回

More information

untitled

untitled Kaminsky Attack ( ) DNS DAY Tsuyoshi TOYONO (toyono@nttv6.net) ( @JPRS) ( ) ( ) DNS DNS (DNS Cache Poisoning ) ( ) Pharming IP Pharming Cache Poisoning 0 ( (RR) Cache TTL) 1000 19 (1136 ) 50% 5 (271 )

More information

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は 書 類 閲 覧 用 端 末 要 件 平 成 28 年 3 月 金 融 庁 総 務 企 画 局 企 業 開 示 課 Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商

More information

情報メディアとインターネット第3回 ビデオ教材の使い方&情報セキュリティ

情報メディアとインターネット第3回 ビデオ教材の使い方&情報セキュリティ 情 報 セキュリティ 認 証 学 術 情 報 基 盤 センター 升 屋 正 人 masatom@cc.kagoshima-u.ac.jp 認 証 とは Authentication IDとパスワードなどで 正 当 性 を 確 認 ログイン 認 証 など Certification 第 三 者 が 正 当 性 を 証 明 ISO9000 認 証 など 認 証 された 利 用 者 に 対 して 権 限

More information

Microsoft PowerPoint - 20120622.pptx

Microsoft PowerPoint - 20120622.pptx 情 報 セキュリティ 第 10 回 2012 年 6 月 22 日 ( 金 ) 1/25 本 日 学 ぶこと 本 日 の 授 業 を 通 じて インターネットにおける 通 信 を 暗 号 化 するソフトウェアについて 学 びます. HTTPSほかの 暗 号 化 を 支 える SSL について,その 構 成 や 運 用 方 法 などを 理 解 します. 安 全 なリモートログインを 実 現 する SSH

More information

Microsoft PowerPoint - 2k_SSL Value for Customers.pptx

Microsoft PowerPoint - 2k_SSL Value for Customers.pptx F5ネットワークスジャパン 2010 年 10 月 SSL 公 開 鍵 長 の2048ビット 移 行 と BIG-IPによるSSLオフロードの に ド 価 値 について セキュリティガイダンス およびその 影 響 3 暗 号 アルゴリズムにおける2010 年 問 題 2010 年 問 題 現 在 使 われている 暗 号 アルゴリズムが 将 来 的 に 使 用 できなくなることに 伴 って 発 生 する

More information

PowerPoint Presentation

PowerPoint Presentation オフィス 宅 ふぁいる 便 パッケージ 版 のご 紹 介 株 式 会 社 オージス 総 研 企 業 間 のファイル 交 換 における 課 題 セキュリティ 責 任 者 のニーズ 重 要 情 報 ファイルの 取 扱 いには 十 分 な 対 策 を 行 いたい 現 状 社 内 メールサーバで 転 送 ファイルの 容 量 制 限 は 実 施 しているものの 現 状 業 務 では 制 限 サイズを 超 えるファイルを

More information

Greatだねー

Greatだねー 中 国 でGreatだよ Matsuzak maz Yoshinobu 2013/08 @ APNIC36 network maz@iij.ad.jp 1 何 だかアクセスできないよ Twitter Facebook YouTube ERR_TIMED_OUT ERR_NAME_RESOLUTIN_FAILED ERR_TIMED_OUT maz@iij.ad.jp

More information

F-Secure Anti-Virus for Mac 2014

F-Secure Anti-Virus for Mac 2014 F-Secure Anti-Virus for Mac 2014 目 次 2 目 次 第 1 章 : 製 品 を 使 用 するには...3 1.1 インストールした 後 に...4 1.1.1 ライセンスの 管 理...4 1.1.2 本 製 品 を 起 動 する...4 1.2 コンピュータの 保 護 状 況 を 確 認 するには...4 1.2.1 全 体 の 保 護 ステータスを 表 示 する...4

More information

Microsoft Word - 不正アクセス行為の禁止等に関する法律等に基づく公安

Microsoft Word - 不正アクセス行為の禁止等に関する法律等に基づく公安 不 正 アクセス 行 為 の 禁 止 等 に 関 する 法 律 等 に 基 づく 公 安 委 員 会 による 援 助 等 の 措 置 に 関 する 訓 令 平 成 12 年 7 月 1 日 警 察 本 部 訓 令 第 25 号 改 正 平 成 14 年 11 月 22 日 本 部 訓 令 第 29 号 平 成 16 年 3 月 25 日 本 部 訓 令 第 6 号 平 成 24 年 5 月 1 日

More information

Webアプリケーション脆弱性診断 ~WebSiteScan Pro~

Webアプリケーション脆弱性診断 ~WebSiteScan Pro~ エヌシーアイ Webアプリケーション 脆 弱 性 診 断 について ~WebSiteScan~ エヌシーアイ 株 式 会 社 の Webアプリケーション 脆 弱 性 診 断 とは? エヌシーアイ 株 式 会 社 のWebアプリケーション 診 断 とは WEBサイト 新 設 もしくはリニューア ル 時 のセキュリティ 診 断 として 広 くご 利 用 頂 いております SaaS 型 サービスの 為 お

More information

Solaris フリーソフトウェア導入手順書 -BIND によるDNS サーバの構築-

Solaris フリーソフトウェア導入手順書 -BIND によるDNS サーバの構築- Solaris フリーソフトウェア導入手順書 -BIND による DNS サーバの構築 - 2010 年 7 月 富士通株式会社 1 商標について SPARC Enterprise は 米国 SPARC International, Inc. のライセンスを受けて使用している 同社の米国およびその他の国における商標または登録商標です UNIX は 米国およびその他の国におけるオープン グループの登録商標です

More information

Microsoft PowerPoint - 05_miyohara.ppt

Microsoft PowerPoint - 05_miyohara.ppt 日 本 におけるヘルスケアPKI (HPKI)の 最 新 動 向 保 健 医 療 福 祉 情 報 システム 工 業 会 セキュリティ 委 員 会 委 員 長 茗 原 秀 幸 1. 情 報 セキュリティとは 情 報 セキュリティとは 情 報 資 産 の 機 密 性 完 全 性 及 び 可 用 性 を 維 持 すること 機 密 性 (confidentiality): 情 報 にアクセスすることが 認

More information

kohi-p1.pptx

kohi-p1.pptx DNS のよくある間違い 伊藤高一 DNS Summer Days 2012 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 1 イントロダクション DNS は 世界で唯一成功した分散データベース って言われています おかげで just put it in the DNS なる風潮も なんで成功したのかって? だってユルいんだもん :-) 多少いい加減でも

More information

untitled

untitled DNS Demystified DNS 2004/07/23 JANOG14 @ koji@iij.ad.jp haru@iij.ad.jp DNS ^^; Authoritative JPNIC JPRS DNSQCTF (caching server) authoritative sever Copyright 2004, 2 (authoritative server) ( LAN DNS RFC1918

More information

TechnicalBrief_Infoblox_jp.indd

TechnicalBrief_Infoblox_jp.indd F5 Infoblox DNS DNS F5 DNS DHCP IP DDI Infoblox DNS DNS DNS DNSSEC Nathan Meyer F5 Cricket Liu Infoblox 2 2 DNS DNSSEC DNSSEC DNSSEC Infoblox DNSSEC F Infoblox Delegation CNAME Delegation DNSSEC 11 Authoritative

More information

目 次. 電 子 入 札 サービスの 環 境 設 定. クライアント 環 境 の 確 認.2 ICカード 及 びICカードリーダの 準 備 4.3 ソフトウェアのインストール 5.4 環 境 設 定 (Javaポリシー) 5 2. 利 用 者 登 録 2. 前 提 条 件 6 2.2 ICカードの

目 次. 電 子 入 札 サービスの 環 境 設 定. クライアント 環 境 の 確 認.2 ICカード 及 びICカードリーダの 準 備 4.3 ソフトウェアのインストール 5.4 環 境 設 定 (Javaポリシー) 5 2. 利 用 者 登 録 2. 前 提 条 件 6 2.2 ICカードの 電 子 入 札 サービス 操 作 概 要 マニュアル 受 注 者 用 ( 工 事 /コンサル) 導 入 編 平 成 26 年 7 月 仙 台 市 目 次. 電 子 入 札 サービスの 環 境 設 定. クライアント 環 境 の 確 認.2 ICカード 及 びICカードリーダの 準 備 4.3 ソフトウェアのインストール 5.4 環 境 設 定 (Javaポリシー) 5 2. 利 用 者 登 録 2.

More information

株 式 会 社 日 本 レジストリサービス( 以 下 当 社 という)が 取 り 扱 う gtld 等 ド 株 式 会 社 日 本 レジストリサービス( 以 下 当 社 という)が 取 り 扱 う gtld 等 ド メイン 名 登 録 等 に 関 する 規 則 ( 以 下 登 録 規 則 という)

株 式 会 社 日 本 レジストリサービス( 以 下 当 社 という)が 取 り 扱 う gtld 等 ド 株 式 会 社 日 本 レジストリサービス( 以 下 当 社 という)が 取 り 扱 う gtld 等 ド メイン 名 登 録 等 に 関 する 規 則 ( 以 下 登 録 規 則 という) 株 式 会 社 日 本 レジストリサービス 株 式 会 社 日 本 レジストリサービス 公 開 :2010 年 11 月 1 日 公 開 :2010 年 11 月 1 日 改 訂 :2011 年 6 月 20 日 改 訂 :2011 年 6 月 20 日 実 施 :2011 年 7 月 18 日 実 施 :2011 年 7 月 18 日 改 訂 :2011 年 11 月 1 日 改 訂 日 実 施

More information

金 沢 大 学 統 合 認 証 基 盤 Shibbolethによるシングルサインオンを 実 現 Kanazawa University Single Sign On(KU SSO) 平 成 22 年 3 月 から 本 格 運 用 を 開 始 30 以 上 の 学 内 情 報 システムをShibbol

金 沢 大 学 統 合 認 証 基 盤 Shibbolethによるシングルサインオンを 実 現 Kanazawa University Single Sign On(KU SSO) 平 成 22 年 3 月 から 本 格 運 用 を 開 始 30 以 上 の 学 内 情 報 システムをShibbol 平 成 26 年 度 第 2 回 学 術 情 報 基 盤 オープンフォーラム@NII 2015/2/3(Tue) 大 学 統 合 認 証 基 盤 における 多 要 素 認 証 について 金 沢 大 学 松 平 拓 也 2015/2/3(Tue) 1 金 沢 大 学 統 合 認 証 基 盤 Shibbolethによるシングルサインオンを 実 現 Kanazawa University Single Sign

More information

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 特 定 個 人 情 報 保 護 評 価 書 ( 重 点 項 目 評 価 書 ) 評 価 書 番 号 評 価 書 名 10 固 定 資 産 税 及 び 都 市 計 画 税 課 税 事 務 重 点 項 目 評 価 書 個 人 のプライバシー 等 の 権 利 利 益 の 保 護 の 宣 言 徳 島 市 は 固 定 資 産 税 及 び 都 市 計 画 税 課 税 事 務 における 特 定 個 人 情 報 ファイルの

More information

A2Zサーバ設定マニュアル110330.doc

A2Zサーバ設定マニュアル110330.doc 設 定 マニュ ア ル [ 2011.10.21 ] 目 次 管 理 ツール Integration-Panel へのログイン 方 法 2 DNS 設 定 手 順 3 サイト 設 定 手 順 11 メール 設 定 手 順 35 1 管 理 ツール Integration-Panel のログイン 方 法 A2Z サーバの DNS 設 定 ウェブサイト 設 定 メール 設 定 は 管 理 ツール AIntegration-

More information

5 研 究 情 報 報 告 書 機 関 誌 学 会 等 での 発 表 情 報 のデータ 集 積 し 検 索 することが 出 来 る 機 能 県 JAEA NIE S 6 関 連 リンク 連 携 研 究 機 関 等 のサイトへ のリンク 7 ページビュ ー 解 析 検 索 キーワードごとのペー ジビュ

5 研 究 情 報 報 告 書 機 関 誌 学 会 等 での 発 表 情 報 のデータ 集 積 し 検 索 することが 出 来 る 機 能 県 JAEA NIE S 6 関 連 リンク 連 携 研 究 機 関 等 のサイトへ のリンク 7 ページビュ ー 解 析 検 索 キーワードごとのペー ジビュ 福 島 県 環 境 創 造 センターホームページ 作 成 等 業 務 委 託 仕 様 書 1 業 務 名 福 島 県 環 境 創 造 センターホームページ 作 成 等 業 務 2 目 的 福 島 県 環 境 創 造 センター( 以 下 環 境 創 造 センター という )は 県 土 の 環 境 を 回 復 創 造 に 取 り 組 むための 調 査 研 究 及 び 情 報 発 信 教 育 等 を 行

More information

ソフトウェア、プロトコル、ウェブサイトをめぐる動向

ソフトウェア、プロトコル、ウェブサイトをめぐる動向 Internet Week 2009 - H1 インターネットセキュリティ2009 - 脅 威 のトレンド2009 ~ソフトウェア プロトコル ウェブサイトをめぐる ウ 動 向 ~ 一 般 社 団 法 人 JPCERTコーディネーションセンター 2009 年 11 月 24 日 真 鍋 敬 士 最 近 気 になっていること 90 90 ある 公 開 アドレスに 届 いたメールのうち 実 行 ファイルが

More information

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 特 定 個 人 情 報 保 護 評 価 書 ( 重 点 項 目 評 価 書 ) 評 価 書 番 号 評 価 書 名 9 個 人 住 民 税 賦 課 に 関 する 事 務 重 点 項 目 評 価 書 個 人 のプライバシー 等 の 権 利 利 益 の 保 護 の 宣 言 三 島 市 は 個 人 住 民 税 賦 課 に 関 する 事 務 における 特 定 個 人 情 報 ファイルの 取 扱 いにあたり

More information

Microsoft PowerPoint - 20150717.pptx

Microsoft PowerPoint - 20150717.pptx 情 報 セキュリティ 第 14 回 2015 年 7 月 17 日 ( 金 ) 1/25 本 日 学 ぶこと 本 日 の 授 業 を 通 じて 組 織 におけるセキュリティ の 基 本 的 な 考 え 方 を 学 びます. 組 織 の 持 つ 情 報 や 計 算 機 などを, 継 続 的 かつ 安 全 に 管 理 運 用 するのに 有 用 な セキュリティポリシー を 学 習 します. セキュリティ

More information

Microsoft PowerPoint - BYODのリスク分析(KDDI研)

Microsoft PowerPoint - BYODのリスク分析(KDDI研) BYODのリスク 分 析 ~ 個 人 スマホを 社 則 で 縛 るのはナンセンス~ KDDI 研 究 所 竹 森 敬 祐 (Ph.D) BYODって リスク 分 析 の 積 み 上 げです リスク 低 減 の 施 策 と 許 容 レベルを 考 慮 し 何 を 何 処 まで 許 可 すべきか 考 えます 本 音 はコスト 削 減 でも 安 全 も 維 持 したい 1: はじめに 2: リスクの 具 体

More information

請求マニュアル(横浜市移動支援等)

請求マニュアル(横浜市移動支援等) Ver.3 横 浜 市 健 康 福 祉 局 障 害 福 祉 課 平 成 27 年 4 月 横 浜 市 の 移 動 支 援 事 業 訪 問 入 浴 施 設 入 浴 事 業 の 請 求 にご 活 用 ください 他 都 市 他 サービスとは 取 扱 いが 異 なりますので ご 注 意 ください 問 合 せ 先 横 浜 市 健 康 福 祉 局 障 害 福 祉 課 移 動 支 援 事 業 移 動 支 援 係

More information

e-Probatio PS2サービス利用約款

e-Probatio PS2サービス利用約款 e-probatio PS2 サービス 利 用 約 款 ( 本 約 款 の 目 的 と 範 囲 ) 第 1 条 e-probatio PS2 サービス 利 用 約 款 ( 以 下 本 約 款 といいます)は 株 式 会 社 エヌ テ ィ ティ ネオメイト( 以 下 当 社 といいます)が 運 営 する 電 子 認 証 局 ( 以 下 認 証 局 とい います)が 提 供 する e-probatio

More information

ウ 既 存 のホームページからのデータの 移 行 の 際 は 最 新 の 情 報 へ 更 新 なお 既 存 の 観 光 情 報 等 に 不 足 する 項 目 があれば 収 集 したうえで 移 行 すること エ 写 真 その 他 のコンテンツ 及 びその 利 用 に 必 要 な 権 利 は 受 託 者

ウ 既 存 のホームページからのデータの 移 行 の 際 は 最 新 の 情 報 へ 更 新 なお 既 存 の 観 光 情 報 等 に 不 足 する 項 目 があれば 収 集 したうえで 移 行 すること エ 写 真 その 他 のコンテンツ 及 びその 利 用 に 必 要 な 権 利 は 受 託 者 出 水 市 観 光 情 報 サイト 構 築 業 務 仕 様 書 第 1 委 託 業 務 名 出 水 市 観 光 情 報 サイト 構 築 業 務 ( 以 下 本 業 務 という ) 第 2 委 託 業 務 の 目 的 出 水 市 の 観 光 情 報 サイト( 以 下 観 光 情 報 サイト という )の 日 本 語 サイトを 構 築 するとともに 英 語 韓 国 語 中 国 語 ( 繁 体 字 のみ

More information

 <基礎領域>

 <基礎領域> 1. 科 目 コード 1223 2. 科 目 名 情 報 ネットワーク 特 別 実 験 1(Advanced Experiments in Information Network 1) 3. 担 当 教 員 赤 松 徹 (Toru AKAMATSU) 4. 開 講 期 秋 1 期 (( 昼 ) 火 曜 4-5 時 限 金 曜 4-5 時 限 ( 夜 ) 火 曜 6-7 時 限 金 曜 6-7 時 限

More information

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は 書 類 閲 覧 用 端 末 要 件 平 成 25 年 4 月 金 融 庁 総 務 企 画 局 企 業 開 示 課 Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商

More information

スマートコネクト マネージドサーバ WAFオプション仕様書

スマートコネクト マネージドサーバ WAFオプション仕様書 スマートコネクト マネージドサーバ WAF オプション 仕 様 書 ( 第 1.0 版 2015 年 6 月 22 日 版 ) < 目 次 > スマートコネクト マネージドサーバ WAF オプション 1. WAF オプション 概 要... 2 1.1. オプション 概 要... 2 1.2. オプション 特 徴... 2 2. WAF オプション 仕 様... 3 2.1. オプション 提 供 プラン...

More information

Untitled

Untitled VPN 接 続 の 設 定 AnyConnect 設 定 の 概 要, 1 ページ AnyConnect 接 続 エントリについて, 2 ページ ハイパーリンクによる 接 続 エントリの 追 加, 2 ページ 手 動 での 接 続 エントリの 追 加, 3 ページ ユーザ 証 明 書 について, 4 ページ ハイパーリンクによる 証 明 書 のインポート, 5 ページ 手 動 での 証 明 書 のインポート,

More information

ICTシミュレータインストール方法

ICTシミュレータインストール方法 伸 ばそう ICT メディアリテラシー 教 材 用 インターネット 補 助 教 材 セットアップについて (Windows 用 の 解 説 を 中 心 に) 本 書 で 説 明 する 伸 ばそう ICT メディアリテラシー 教 材 用 インターネット 補 助 教 材 は, 平 成 18 年 度 総 務 省 事 業 として 開 発 されました 本 書 では,XAMPP for Windows を 利

More information

観察カード集計管理システムの

観察カード集計管理システムの V2 共 用 サーバ 追 加 FTP ユーザ 用 マニュアル 第 1.0 版 2010 年 2 月 株 式 会 社 インフォジャム 更 新 履 歴 2010/02/05 1.0 版 作 成 2/12 目 次 1 はじめに... 4 2 WEB コンテンツをアップロードしよう... 5 2-1 FTP ソフトでのアップロード 方 法... 5 2-2 ディレクトリやファイルの 説 明... 6 2-3

More information

Microsoft PowerPoint - ITS20130617.pptx

Microsoft PowerPoint - ITS20130617.pptx 情 報 産 業 と 社 会 第 11 回 : 個 人 情 報 保 護 法 住 基 ネッ トシステム マイナンバーシステム 2013.6.17 宿 南 達 志 郎 薬 ネット 販 売 自 粛 解 除 (ドラッグストア 協 会 ) 日 本 ドラッグストア 協 会 は14 日 会 員 企 業 に 対 するインターネット 販 売 自 粛 要 請 を 解 除 厚 生 省 の 方 針 が 定 まっていない 第

More information

慎 重 な 取 扱 いが 求 められる 個 人 番 号 マイナンバー( 個 人 番 号 )はe-TAXのように 個 人 が 特 に 希 望 し た 場 合 にのみ 利 用 されるものではなく 国 民 の 意 志 と 関 係 なく 政 府 や 地 方 公 共 団 体 とデジタル 的 に 結 ばれ 使

慎 重 な 取 扱 いが 求 められる 個 人 番 号 マイナンバー( 個 人 番 号 )はe-TAXのように 個 人 が 特 に 希 望 し た 場 合 にのみ 利 用 されるものではなく 国 民 の 意 志 と 関 係 なく 政 府 や 地 方 公 共 団 体 とデジタル 的 に 結 ばれ 使 . 事 業 者 が 備 えるべき マイナンバー 対 応 のポイント 平 成 2 7 年 5 月 1 5 日 JIPDEC( 一 般 財 団 法 人 日 本 情 報 経 済 社 会 推 進 協 会 ) マイナンバー 対 応 プロジェクト 室 慎 重 な 取 扱 いが 求 められる 個 人 番 号 マイナンバー( 個 人 番 号 )はe-TAXのように 個 人 が 特 に 希 望 し た 場 合 にのみ

More information

第 4 条 会 員 登 録 1. CNCP の 法 人 正 会 員 個 人 正 会 員 賛 助 会 員 は 無 審 査 で 会 員 登 録 されます 2. 会 員 登 録 ができるのは CNCP の 法 人 正 会 員 個 人 正 会 員 賛 助 会 員 および CNCP サポーターと CNCP か

第 4 条 会 員 登 録 1. CNCP の 法 人 正 会 員 個 人 正 会 員 賛 助 会 員 は 無 審 査 で 会 員 登 録 されます 2. 会 員 登 録 ができるのは CNCP の 法 人 正 会 員 個 人 正 会 員 賛 助 会 員 および CNCP サポーターと CNCP か CNCP マッチングサイト 利 用 規 約 (2016.7.27) 第 1 条 総 則 1. 本 利 用 規 約 は 特 定 非 営 利 活 動 法 人 シビル NPO 連 携 プラットフォーム( 以 下 CNCP と 称 する)が 提 供 する インターネットサイトで 業 務 委 託 者 ( 以 下 クライアントと 称 する)と 業 務 受 託 者 ( 以 下 メンバーと 称 する)の マッチングを

More information

< 別 添 資 料 Ⅱ>ネットワークセキュリティ 実 践 カリキュラム セキュアなネットワークを 構 築 するため のファイアウォール VPN および 無 線 LANセキュリティについて 習 得 します ネットワークセキュリティの 概 要 と 最 新 動 向 を 解 説 し その 対 処 方 法 に

< 別 添 資 料 Ⅱ>ネットワークセキュリティ 実 践 カリキュラム セキュアなネットワークを 構 築 するため のファイアウォール VPN および 無 線 LANセキュリティについて 習 得 します ネットワークセキュリティの 概 要 と 最 新 動 向 を 解 説 し その 対 処 方 法 に < 別 添 資 料 Ⅱ>ネットワークセキュリティ 基 礎 カリキュラム 情 報 セキュリティ 全 般 の 動 向 および 必 要 な 対 策 の 基 礎 知 識 について 習 得 し ます NISMコース 体 系 全 体 の 概 要 を 学 びます また 最 新 のセキュリティ 技 術 の 概 要 を 解 説 し 専 門 コースへの 足 がかりになる ようにします 1. ネットワークセキュリティとは

More information

れた 公 開 鍵 に 対 応 する 秘 密 鍵 を 電 子 署 名 において 利 用 することができます 第 3 条 ( 電 子 証 明 書 の 発 行 申 請 ) 1. 申 請 者 は 所 定 の 様 式 の 申 請 書 を 機 構 又 は 居 住 する 市 区 町 村 の 受 付 窓 口 ( 以

れた 公 開 鍵 に 対 応 する 秘 密 鍵 を 電 子 署 名 において 利 用 することができます 第 3 条 ( 電 子 証 明 書 の 発 行 申 請 ) 1. 申 請 者 は 所 定 の 様 式 の 申 請 書 を 機 構 又 は 居 住 する 市 区 町 村 の 受 付 窓 口 ( 以 公 的 個 人 認 証 サービス 利 用 者 規 約 ( 個 人 番 号 カード) 第 1 条 ( 総 則 ) 1. 公 的 個 人 認 証 サービス ( 以 下 本 サービス という )は 地 方 公 共 団 体 情 報 システ ム 機 構 ( 以 下 機 構 という )が 運 営 する 署 名 用 認 証 局 ( 以 下 署 名 用 CA という ) が 提 供 する 署 名 用 電 子 証 明

More information

Microsoft PowerPoint - security2012-9SSL.pptx

Microsoft PowerPoint - security2012-9SSL.pptx 今 の 内 容 情 報 社 会 とセキュリティ( 第 9 回 ) 暗 号 化 を いた 技 術 SSL S/MIME 産 業 技 術 科 学 科 多 知 正 htada@kyokyo-u.ac.jp 2012/6/4 1 2012/6/4 2 SSLとは SSLの 利 Secure Socket Layerの 略 インターネット 上 で 情 報 を 暗 号 化 して 通 信 するためのプロトコル HTTP

More information

本 資 料 に 関 する 詳 細 な 内 容 は 以 下 のページのPDF 資 料 をご 確 認 ください 本 資 料 は 要 約 です 情 報 セキュリティ10 大 脅 威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html Co

本 資 料 に 関 する 詳 細 な 内 容 は 以 下 のページのPDF 資 料 をご 確 認 ください 本 資 料 は 要 約 です 情 報 セキュリティ10 大 脅 威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html Co 情 報 セキュリティ10 大 脅 威 2015 ~ 被 害 に 遭 わないために 実 施 すべき 対 策 は?~ Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 独 立 行 政 法 人 情 報 処 理 推 進 機 構 (IPA) 技 術 本 部 セキュリティセンター 2015 年 3 月 本 資 料 に 関 する 詳 細 な 内 容 は 以 下 のページのPDF

More information

3.コンテンツの 作 成 機 能 3-1 IDごとに 編 集 権 限 を 設 け 権 限 に 応 じたメニューが 表 示 されること 3-2 管 理 者 はすべてのページにおいて 編 集 する 権 限 があること 3-3 複 数 のユーザーが 同 時 に 同 一 のページを 更 新 できないこと 基

3.コンテンツの 作 成 機 能 3-1 IDごとに 編 集 権 限 を 設 け 権 限 に 応 じたメニューが 表 示 されること 3-2 管 理 者 はすべてのページにおいて 編 集 する 権 限 があること 3-3 複 数 のユーザーが 同 時 に 同 一 のページを 更 新 できないこと 基 ( 別 紙 ) 志 摩 市 ホームページ 構 築 業 務 CMS 機 能 調 査 表 対 応 欄 : 本 業 務 の 委 託 費 用 内 で 対 応 可 能 : 代 替 案 により 本 業 務 の 委 託 費 用 内 で 対 応 可 能 ( 代 替 案 欄 に 代 替 案 をご 記 入 ください ) : 対 応 不 可 項 目 番 号 要 件 対 応 代 替 案 1-1 1.システム 基 本 要 件

More information

~IPv6 と DNS の正しい付き合い方~ IPv6時代のDNS設定を考える

~IPv6 と DNS の正しい付き合い方~ IPv6時代のDNS設定を考える ~IPv6 と DNS の正しい付き合い方 ~ IPv6 時代の DNS 設定を考える 2009.3.5 IPv6 Operations Forum @ Shinagawa ( 株 ) クララオンライン 白畑 真 1 自己紹介など 白畑真 ホスティング事業者にてネットワークとサーバ周りの雑用など DNS との関わり お客様のドメイン名をホスティング オーソリテイティブサーバとして動作しているサーバが多い

More information

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 1 ページ

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 1 ページ 特 定 個 人 情 報 保 護 評 価 書 ( 重 点 項 目 評 価 書 ) 評 価 書 番 号 評 価 書 名 8 個 人 住 民 税 の 賦 課 に 関 する 事 務 重 点 項 目 評 価 書 個 人 のプライバシー 等 の 権 利 利 益 の 保 護 の 宣 言 西 東 京 市 は 個 人 住 民 税 の 賦 課 に 関 する 事 務 における 特 定 個 人 情 報 ファイ ルの 取 扱

More information

1 目 的 秦 野 市 公 式 ホームページは 平 成 24 年 2 月 にコンテンツマネジメントシ ステム( 以 下 CMS という )を 導 入 して 以 来 各 課 等 でページの 更 新 を 行 っており 全 ページで 統 一 感 のある 見 やすい 分 かりやすいページの 提 供 に 努

1 目 的 秦 野 市 公 式 ホームページは 平 成 24 年 2 月 にコンテンツマネジメントシ ステム( 以 下 CMS という )を 導 入 して 以 来 各 課 等 でページの 更 新 を 行 っており 全 ページで 統 一 感 のある 見 やすい 分 かりやすいページの 提 供 に 努 平 成 28 年 度 秦 野 市 公 式 ホームページ 管 理 シス テム 更 新 及 び 保 守 委 託 業 務 ( 長 期 継 続 契 約 ) 仕 様 書 1 目 的 秦 野 市 公 式 ホームページは 平 成 24 年 2 月 にコンテンツマネジメントシ ステム( 以 下 CMS という )を 導 入 して 以 来 各 課 等 でページの 更 新 を 行 っており 全 ページで 統 一 感 のある

More information

1 はじめに... 1 1.1 概 要... 1 1.1.1 証 明 書 の 種 類... 1 1.1.2 関 連 規 程... 1 1.2 文 書 名 と 識 別... 2 1.3 PKI の 関 係 者... 3 1.3.1 運 営 体 制... 3 1.3.2 その 他 関 係 者... 4

1 はじめに... 1 1.1 概 要... 1 1.1.1 証 明 書 の 種 類... 1 1.1.2 関 連 規 程... 1 1.2 文 書 名 と 識 別... 2 1.3 PKI の 関 係 者... 3 1.3.1 運 営 体 制... 3 1.3.2 その 他 関 係 者... 4 C-6-3-8 LGPKI アプリケーション 認 証 局 G3(Sub) CP/CPS 第 1.1 版 平 成 27 年 12 月 18 日 地 方 公 共 団 体 情 報 システム 機 構 1 はじめに... 1 1.1 概 要... 1 1.1.1 証 明 書 の 種 類... 1 1.1.2 関 連 規 程... 1 1.2 文 書 名 と 識 別... 2 1.3 PKI の 関 係 者...

More information

目 次. 電 子 入 札 サービスの 環 境 設 定. クライアント 環 境 の 確 認.2 ICカード 及 びICカードリーダの 準 備 4.3 ソフトウェアのインストール 5.4 環 境 設 定 (Javaポリシー) 5 2. 利 用 者 登 録 2. 前 提 条 件 6 2.2 ICカードの

目 次. 電 子 入 札 サービスの 環 境 設 定. クライアント 環 境 の 確 認.2 ICカード 及 びICカードリーダの 準 備 4.3 ソフトウェアのインストール 5.4 環 境 設 定 (Javaポリシー) 5 2. 利 用 者 登 録 2. 前 提 条 件 6 2.2 ICカードの 電 子 入 札 サービス 操 作 概 要 マニュアル ( 工 事 /コンサル) 導 入 編 平 成 27 年 6 月 目 次. 電 子 入 札 サービスの 環 境 設 定. クライアント 環 境 の 確 認.2 ICカード 及 びICカードリーダの 準 備 4.3 ソフトウェアのインストール 5.4 環 境 設 定 (Javaポリシー) 5 2. 利 用 者 登 録 2. 前 提 条 件 6 2.2

More information

ビジネス化がさらに加速するサイバー攻撃

ビジネス化がさらに加速するサイバー攻撃 ビジネス 化 がさらに 加 速 するサイバー 攻 撃 株 式 会 社 ラック サイバーリスク 総 合 研 究 所 コンピュータセキュリティ 研 究 所 CSL Report August 2008 ビジネス 化 がさらに 加 速 するサイバー 攻 撃 進 化 し 続 けるアンダーグラウンドビジネス 1. はじめに... 3 2. 概 要... 3 3. コードインジェクション... 4 3-1 中

More information

Microsoft Word - K_仮想共用サーバVer WEBサーバ_rev2.docx

Microsoft Word - K_仮想共用サーバVer WEBサーバ_rev2.docx マイサーバーサービス 利 用 マニュアル (VPS 共 用 サーバー 用 Web サーバー 設 定 ) マイサーバーVPS compact RIMNET http://www.rim.or.jp/support/ Members Guide Book 2010/07 はじめに 本 利 用 マニュアルでは マイサーバーVPS compactのvps 共 用 サーバー 用 の Webサーバ の 設 定

More information

第 二 章 政 府 機 関 の 情 報 セキュリティ 対 策 のための 基 本 指 針 (リスク 評 価 ) 第 三 条 各 府 省 庁 は 別 に 定 める 政 府 機 関 の 情 報 セキュリティ 対 策 における 政 府 機 関 統 一 管 理 基 準 及 び 政 府 機 関 統 一 技 術

第 二 章 政 府 機 関 の 情 報 セキュリティ 対 策 のための 基 本 指 針 (リスク 評 価 ) 第 三 条 各 府 省 庁 は 別 に 定 める 政 府 機 関 の 情 報 セキュリティ 対 策 における 政 府 機 関 統 一 管 理 基 準 及 び 政 府 機 関 統 一 技 術 政 府 機 関 の 情 報 セキュリティ 対 策 のための 統 一 規 範 平 成 23 年 4 月 21 日 平 成 24 年 4 月 26 日 改 定 情 報 セキュリティ 政 策 会 議 決 定 第 一 章 目 的 及 び 対 象 ( 第 一 条 第 二 条 ) 第 二 章 政 府 機 関 の 情 報 セキュリティ 対 策 のための 基 本 指 針 ( 第 三 条 第 四 条 ) 第 三 章

More information

PCSK2のご紹介

PCSK2のご紹介 学 校 内 PCのセキュリティと 環 境 維 持 管 理 に ご 紹 介 資 料 Copyright 2011 Zetta Technology Inc. All rights Reserved. 本 資 料 の 無 断 転 載 複 写 を 禁 じます. 学 校 内 PCの 管 理 ポイント 教 育 の 情 報 化 に 伴 う 情 報 セキュリティ 製 品 概 要 ウィルス 対 策 情 報 漏 洩

More information

examp examp 1 1 SPF le. jp le. jp 192. 0. 192. 0. DNS IP (MX ) 1) SMTP IP 2) SMTP MAIL FROM SMTP EHLO 3) SPF RR IP 4) 1) 3) 2

examp examp 1 1 SPF le. jp le. jp 192. 0. 192. 0. DNS IP (MX ) 1) SMTP IP 2) SMTP MAIL FROM SMTP EHLO 3) SPF RR IP 4) 1) 3) 2 SPF Sender ID ( ) kazu@iij.ad.jp 1 examp examp 1 1 SPF le. jp le. jp 192. 0. 192. 0. DNS IP (MX ) 1) SMTP IP 2) SMTP MAIL FROM SMTP EHLO 3) SPF RR IP 4) 1) 3) 2 SPF.JP 2008 6 22.38% # SPF RR # MX RR 100

More information

Microsoft PowerPoint - Matsuhira_KU_ICTSFC_20150610.pptx

Microsoft PowerPoint - Matsuhira_KU_ICTSFC_20150610.pptx ID 認 証 連 携 とデータ 連 携 による 地 域 ICTイノベーション ワークショップ@ 金 沢 2015/6/10(Wed) 安 全 で 使 いやすい 認 証 とセキュリティ 金 沢 大 学 松 平 拓 也 2015/6/10(Wed) 1 国 立 大 学 法 人 金 沢 大 学 構 成 員 学 生 ( 院 生 含 む) 約 10,300 名 教 職 員 ( 非 常 勤 含 む) 約 3,800

More information

ユーザーマニュアル

ユーザーマニュアル 1. 基 本 設 定 セキュア Web サーバーの 基 本 的 な 設 定 を 行 ないます 基 本 設 定 サーバー 名 管 理 者 メールアドレス を 入 力 します 設 定 する ボタンをクリックして 設 定 を 終 了 します root ユーザーはポート 番 号 を 変 更 することもできます 詳 細 設 定 セキュア Web サーバーを 通 して 公 開 する ユーザーのディレクトリを 設

More information

Gmail 利用者ガイド

Gmail 利用者ガイド Gmail 利 用 者 ガイド 目 次 1. はじめに... 1 2. Gmail を 利 用 する 前 に... 2 3. 初 めてのログイン... 4 3.1. ログイン... 4 3.2. CAPTCHA の 入 力... 5 4. メールボックスの 説 明... 8 5. メールの 受 信... 9 6. メールの 送 信 返 信... 10 6.1. メールの 新 規 作 成... 10

More information