資料 3 DNS の世界的な運用変更に伴い必要となる対策について 資料 3-1 DNS の世界的な運用変更に伴うキャッシュ DNS サーバーの 設定更新の必要性について ( 総務省資料 ) 資料 3-2 同 (IT 総合戦略室 NISC 資料 )

Similar documents
(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3

Microsoft PowerPoint - DNSSECとは.ppt

DNSSECの基礎概要

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

DNSSEC導入に関する世界的動向

Microsoft PowerPoint 版_Root_JPの状況.ppt

LGWAN-1.indd

ご挨拶

目次 移行前の作業 3 ステップ1: 移行元サービス メールソフトの設定変更 3 ステップ2: アルファメール2 メールソフトの設定追加 6 ステップ3: アルファメール2 サーバへの接続テスト 11 ステップ4: 管理者へ完了報告 11 移行完了後の作業 14 作業の流れ 14 ステップ1: メー

058 LGWAN-No155.indd

アルファメール 移行設定の手引き Outlook2016

アルファメールプレミア 移行設定の手引き Outlook2016

nifty.com ドメイン名 /DNS の移行につきまして ( ビジネスメール ) 富士通クラウドテクノロジーズ株式会社

目次 1. はじめに 2 2. ドメイン名の移行に伴う変更箇所について 3 3. スケジュールについて 4 4.DNS サーバー /DNS レコードの設定要否について 5 5. ドメイン名 DNS サーバーの管理元を確認する方法について 6 6.DNS サーバーの設定 7 7.DNS レコードの設定

Microsoft PowerPoint JPRS-DNSSEC-Act-03.pptx

「DNSSECの現状と普及に向けた課題」

FutureWeb3サーバー移管マニュアル

DNSSEC運用技術SWG活動報告

リージャスグループの個人情報保護方針

FutureWeb3 サーバー移管マニュアル Vol.004

大規模災害時における、DNSサービスの継続性確保のために

アルファメールプレミアのメールアドレスは 普段ご利用のメールソフトでもメールを送受信することができます ここでは Outlook 2013 の設定方法をご紹介します それ以外のメールソフトをご利用になる場合は 下記の基本設定項目を参考に設定を行ってください 基本設定項目 メールアカウント メールパス

スライド 1

あなたのDNS運用は 来るべきDNSSEC時代に耐えられますか

<4D F736F F F696E74202D B836F88DA935D82C98AD682B582C A B E >

Microsoft PowerPoint - private-dnssec

スマート署名(Smart signing) BIND 9.7での新機能

Microsoft PowerPoint - d1-大本 貴-DNSSECstatus_DNS-DAY [互換モード]

ご利用のブラウザのバージョンによっては 若干項目名が異なる場合があります 予めご了承ください Windows をお使いの場合 [ 表示 ] [ エンコード ] [ 日本語 ( 自動選択 )] を選択 [ 表示 ] [ エンコード ] [Unicode(UTF-8)] を選択 Firefox をご利用

アルファメールプレミア 移行設定の手引き

物件問合せメール対応フロー ( 例 ) 1 メールに添付されたファイル (.ZIP) をダブルクリックする 2 ファイルをすべて展開 をクリックする 3 添付ファイルの保存先を デスクトップ 等 保存したい場所に指定し 展開ボタンをクリックする 4 別途送付するメールに記載されたパスワードを パスワ

目次 はじめに 1サーバ作成 2 初期設定 3 利用スタート 付録 Page.2

LAN DISK NarSuSの登録方法

メールデータ移行手順

Root KSK更新に対応する方法

<4D F736F F D E FD8936F8B4C8F8A82CC936F8B4C8AAF82CC93648E718FD896BE8F9182CC936F985E8EE88F872E646F63>

セキュアなDNS運用のために

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

サービス内容 サービス内容 アルファメールダイレクトのサービス内容 機能 対応環境についてご案内します 基本サービス 管理者機能 アルファメールダイレクトをご利用になる前に まず管理者の方がメールアドレスの登録や 必要な設定を行います すべての設定は ホームページ上の専用フォームから行います < 主

ホームページ・ビルダー サービス「ライトプラン」

インターネット協会迷惑メール対策委員会 インターネット協会は 2001 年に設立された財団法人 賛助会員 94 社 (2010 年 12 月 7 日現在 ) 迷惑メール対策委員会 2004 年に設立 メンバーは ISP の他 大学 企業関係者 それらにサービスを提供する SIer など 2005 年

MRS-NXシリーズご利用ガイド

Office365  Outlook

DNSのセキュリティとDNSに関する技術

MIND-Wireless-Win7_1x

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

novas HOME+CA WEB 設定画面アクセス方法 novas HOME+CA の WEB 設定画面接続方法 本製品の設定は WEB 設定画面から変更できます WEB 設定画面のアクセス方法は以下のとおりです 1 本製品と有線または無線 LAN で接続した端末で WEB ブラウザを起動します

LCV-Net セットアップガイド macOS

新環境への移行手順書

IPアドレス・ドメイン名資源管理の基礎知識

Microsoft Word - 推奨環境.doc

サービス内容 サービス内容 ここでは サービス内容についてご案内します このたびは 本サービスをお申し込みいただきまして 誠にありがとうございます この手引きは サービスをご利用いただく方 ( 一般利用者 ) 向けの内容で構成されております お客様のご利用環境によってはご紹介した画面や操作とは異なる

PowerPoint プレゼンテーション

MIND-Wireless-Win8.1_eduroam

DNSとメール

リティ向上のため Windows7 SP1 をご使用することをお薦めいたします (KB は含まれています ) *3 電子証明書をご利用する場合は Internet Explorer8.0/Internet Explorer9.0 の 64bit 版は 推奨環境対象外となります *4 古い

2 章必要なものを用意する パソコン (PC) 推奨環境以下の Windows パソコンのみでのご利用となり スマートフォンやタブレットは推奨環境対象外です なお 携帯電話からはご利用いただけません 最新の利用環境および留意事項につきましては 当金庫までお問い合わせください ( 平成 28 年 1

ESET Internet Security V10 モニター版プログラム インストール / アンインストール手順

WL-RA1Xユーザーズマニュアル

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

DNSサーバー設定について

Microsoft Word - Gmail-mailsoft設定2016_ docx

Microsoft PowerPoint - DNSSEC技術と運用.ppt [互換モード]

サービス内容 サービス内容 ここでは サービス内容についてご案内します このたびは 本サービスをお申し込みいただきまして 誠にありがとうございます この手引きは サービスの運用を管理される方向けの内容で構成されております お客様のご利用環境によってはご紹介した画面や操作とは異なる場合がありますが 快

サービス内容 サービス内容 ここでは サービス内容についてご案内します このたびは 本サービスをお申し込みいただきまして 誠にありがとうございます この手引きは サービスをご利用いただく方 ( 一般利用者 ) 向けの内容で構成されております お客様のご利用環境によってはご紹介した画面や操作とは異なる

人類の誕生と進化

目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )

CSR生成手順-Microsoft IIS 7.x

重要 ダイナミック DNS Update (RFC2136 準拠 ) について 当社では みえますねっと サービス以外の DDNS サービスに関する動作保証は一切行っ ていません したがって みえますねっと サービス以外の DDNS サービスの利用により カメラをお使いの環境に何らかの障害や損害が発

−uDNSƒzƒXƒeƒB?ƒOƒT?ƒrƒX−v??ƒU?ƒ}ƒj?ƒA?_

掲示板の閲覧 掲示板の閲覧 登録権または参照権のある掲示板グループの掲示版を閲覧することができます 各利用者の権限は 管理者によって設定されます 掲示板を閲覧する 1 掲示板画面を表示し 閲覧する掲示が含まれている掲示板グループ 掲示板の順にクリックします 掲示板画面の表示方法 ポータル画面の画面説

ケータイ de 会社メール

ServerView RAID Manager VMware vSphere ESXi 6 インストールガイド

PowerPoint プレゼンテーション

■POP3の廃止について

Microsoft PowerPoint - soumu-kanesaka.pptx

第5回 マインクラフト・プログラミング入門

<4D F736F F F696E74202D208C928D4E95DB8CAF81458CFA90B6944E8BE095DB8CAF94ED95DB8CAF8ED28E918A698EE693BE93CD81698EA58B43947D91CC93CD8F918DEC90AC D834F A82F097E182C682B582BD652D476F E71905C90B

ルート証明書インストール手順

サイボウズ リモートサービス ユーザーマニュアル

FTP ウェブコンテンツダウンロード手順書 ver1.0 作成 :KDDI 株式会社 作成日 :2018 年 10 月 31 日

KDDI Smart Mobile Safety Manager Mac OS キッティングマニュアル 最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

Microsoft Word 接続マニュアル(Windows7)  ~.doc

label.battery.byd.pdf

Microsoft PowerPoint - パソコン講習会資料(3)メール ppt

ドメイン ネーム システムの概要

Office 365 管理者マニュアル

スライド 1

証明書インポート用Webページ


DigiCert SSL/TLS 証明書  ~ Cert Station 再発行 申請手順書 ~(Multi-Domain編)

【EW】かんたんスタートマニュアル

データコピーとは データコピーは 古い NAS のデータを新しい HDL-Z シリーズに簡単にコピーできます 環境例本製品は以下の用途の際に最適です 古い HDL-Z シリーズから新しい HDL-Z シリーズへのコピー古い HDL-Z シリーズから 新しい HDL-Z シリーズへのスムーズなコピーが

リリースノート バージョン / /08/08 公開 wivia は 株式会社内 洋 の日本における登録商標です Microsoft Windows は 米国マイクロソフト社の米国及びその他の国における登録商標です Apple Mac Mac OS は 米国 A

Microsoft Word - Gmail-mailsoft_ docx

3. ユーザー情報の登録 必要事項をご入力の上 申込み ボタンを押してください ご利用される方のお名前を入力してください 個人名以外の名称は サポートセンターからの ご連絡の際に連絡がうまくとれないなど不都合が 生じる恐れがありますので ご遠慮いただいています 複数のメールアドレスを登録することはで

ユーザーをファイルから一括登録する 登録内容を変更する ユーザーのパスワードを変更する

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

3 アカウント画面で新しいアカウント作成 :[ メール ] をクリックします 4 新しいメールアドレスを使いたい方という画面の下部にある [ メールアカウントを設定する ] ボタ ンをクリックします 2

PART 4 メールを使いこなす 初めて起動した場合は ドコモメールアプリのアップデートを行います ドコモメールアプリにある ダウンロード を 続いて アップデート を アップデートが完了したらホーム画面上の ドコモメール のアイコンをタップすると起動します 初めて起動した場合 利用規約や注意につい

Transcription:

資料 3 DNS の世界的な運用変更に伴い必要となる対策について 資料 3-1 DNS の世界的な運用変更に伴うキャッシュ DNS サーバーの 設定更新の必要性について ( 総務省資料 ) 資料 3-2 同 (IT 総合戦略室 NISC 資料 )

資料 3-1 総基デ第 4 9 号 平成 29 年 7 月 14 日 内閣官房内閣サイバーセキュリティセンター副センター長殿内閣官房情報通信技術 (IT) 総合戦略室副政府 CIO 殿 総務省総合通信基盤局長 DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性について この度 インターネットの重要資源の世界的な管理 調整業務を行う団体 ICANN (Internet Corporation for Assigned Names and Numbers) が DNS( ドメインネームシステム ) において電子の正当性を検証するために使う暗号鍵の中で最上位となる鍵 ( ルートゾーンKSK) の更改を実施します これに伴い キャッシュDNSサーバーを運用する者 ( 契約者向けにサービス提供するインターネットサービスプロバイダ LAN 利用者向けにサービス提供する官庁 独法 学校 企業等 以下 運用者 という ) においては 別紙のとおり 速やかに事前公開されているルートゾーンKSKの公開鍵の情報を更新する等の措置を講じる必要があります なお 本年 9 月 19 日までに必要な措置が講じられない場合 web サイトへのアクセスやメールの送信ができない利用者が生じる可能性があります つきましては 貴センターから 各府省等担当部局を通じ 運用者に対して別紙の事項を周知いただきたく ご協力をお願いします なお 本文書は ICANNから総務省に対する周知依頼文書 ( 総基デ受 50) に基づき 発出するものです

DNS における電子鍵の更改について 平成 29 年 7 月 14 日 総務省総合通信基盤局データ通信課 1. 目的 DNS( ドメインネーム システム ) は www.soumu.go.jp などのホスト名 ( 人が理解しやすいようにつけたサーバーの名前 ) を インターネット上の住所である IP アドレスに変換するために利用される 検索 の仕組み この検索結果が第三者の成りすましにより改ざんされないよう 電子を付加した DNSSEC という仕組みで運用されるのが一般的である 本年 7 月 ~ 来年 3 月にかけて 当該電子の正当性を検証するために使う鍵の中で 最も中核をなす ルートゾーン KSK について その信頼性維持のため 史上初めて更改することが発表された 2. 対応が必要となる者 DNS を用いた検索を実際に行う キャッシュ DNS サーバー の運用者全て例 : 契約者向けに提供するインターネットサービスプロバイダ LAN 利用者向けに提供する官庁 独法 学校 企業など 3. 鍵の更改に伴い生じる可能性のあるトラブル (1) 鍵の更改 に追従できず 検索結果の正当性が確認できない( 結果として 検索結果が 信用できない ものとして取り扱われる ) ため web サイトへのアクセスやメールの送信ができない利用者が生じる可能性がある (2) 鍵の移行期間 において 鍵の正当性を確認する情報 や 電子 について 旧来の鍵用と新しい鍵用の双方を送受信する必要があるため 当該期間において検索結果として送受信されるデータ量が増大することから 検索結果をインターネット経由で正常に送受信できなくなり web サイトへのアクセスやメールの送信ができない利用者が生じる可能性がある 4. トラブルを生じさせないために必要となる措置本年 9 月 19 日までに 以下の措置が必要

(1) 鍵の更改 に追従するために 1 キャッシュ DNS サーバー のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 キャッシュ DNS サーバー において DNSSEC のトラストアンカーの自動更新 の設定を行う 3 念のため キャッシュ DNS サーバー において DNSSEC が有効になっており また DNSSEC の検証 が有効になっていることを確認する (2) 鍵の移行期間 のデータ量増大に対応するために 1 キャッシュ DNS サーバー において UDP 受信サイズを 4096 バイトの検索結果が受信できる設定 (RFC6891 による推奨設定 ) を行う 2 キャッシュ DNS サーバー において dig コマンド などを使い 4096 オクテットの検索結果が受信できるか確認する 3 不明点がある場合には 運用委託先や上位 ISP に問い合わせを行う 詳細は https://go.icann.org/ksktest を参照 連絡先 総務省総合通信基盤局データ通信課 03-5253-5853

DNS 応答の仕組み 1 インターネット上の機器は IPアドレスと呼ばれる番号で管理され インターネット上の通信は IPアドレスを宛先として行われる ホームページの閲覧やメールの送信をするためには 相手方の機器 ( サーバー ) の IPアドレスを知っていることが必要 IPアドレスは 例えば 203.0.113.1 など人には記憶 判別しにくいため IPアドレスに対応したドメイン名 ( 例 : 総務省のホームページの場合 www.soumu.go.jp ) が利用されている ドメイン名をインターネット上の宛先とするためには 対応するIPアドレスに変換する仕組み (DNS: Domain Name System) を利用 DNSでは ドメイン名の各階層の管理者が管理情報 ( ドメイン名とIPアドレスの対応関係等 ) を自身の権威 DNSサーバーに保持 インターネットの利用者は ISPやLAN 内のキャッシュDNSサーバーを通じて 上位階層の権威 DNSサーバーから順にIPアドレスを問い合わせる < 総務省のホームページを見る場合 > IP アドレスとドメイン名の変換 DNS の階層構造 ( 管理者 ) 1 www.soumu.go.jp ( ドメイン名 ) を入力 4 203.0.113.1 を入力 ( したことになる ) 利用者のパソコン 3 203.0.113.1 です DNS 応答 (IP アドレス ) 203.0.113.1 総務省のホームページを提供する機器 ( ドメイン名 ) www.soumu.go.jp ルート DNS サーバー jpドメインのdnsサーバー (JPRS) soumu.go.jp ドメインの DNS サーバー (ICANN) ( 総務省 ) 2 www.soumu.go.jp に対応する IP アドレスを教えてください 詳細 キャッシュ DNS サーバー (2) 上位の権威 DNS サーバーから順に IP アドレスを問い合わせる DNS (Domain Name System) (1)www.soumu.go.jp の IP アドレスは? (3) 203.0.113.1 です 利用者のパソコン

DNS の正当性を担保する電子 (DNSSEC) の仕組み (1/2) 2 各階層の管理者は 自らのDNS 応答の正当性を証明するために 秘密鍵と公開鍵を利用する まず 各階層の管理者は 問合せを受けたドメイン名に対応するIPアドレスとともに 秘密鍵によるを併せて送付する 回答を受けたキャッシュDNSサーバーの運用者は 公開鍵によりを復号し IPアドレスの情報と一致することを確認することで 回答が途中で改ざんされていないことを確認する 以上に加えて 各階層の管理者が 上位の階層の管理者に公開鍵に関する情報を預け 当該上位の階層の管理者が自らのを行いキャッシュDNSサーバーの運用者に提供することで 公開鍵の正当性を検証することを可能としている JP ゾーン 公開鍵の正当性を検証するための情報 上位の階層の管理者に公開鍵に関する情報を預ける 公開鍵の正当性を検証 公開鍵 総務省ゾーン IP アドレス 秘密鍵 公開鍵 キャッシュ DNS サーバー IP アドレス : 203.0.113.1 :ri0e8f www.soumu.go.jp 203.0.113.1 総務省 DNS サーバー 203.0.113.1 3913 ri0e8f 203.0.113.1 ri0e8f 3913 3913 一致により DNS 応答の信頼性を確認 ハッシュ値を計算 秘密鍵で暗号化 公開鍵で復号 ハッシュ値 : ある値からハッシュ関数と呼ばれる計算方法で求められる値 同じ値から得られるハッシュ値は常に同じ値となるが 得られるハッシュ値から元の値を導くことはできない

DNS の正当性を担保する電子 (DNSSEC) の仕組み (2/2) 3 鍵の信頼性を確保するためには 鍵長を長くすることで解読されるリスクを小さくすること 鍵の定期的な更新を行うことが求められる しかし 前者についてはのための時間がかかる 後者については上位の階層の管理者が関与する仕組みからあまり頻繁な更新は難しいといった問題がある そこで DNSSECにおいては DNSデータにをするZSK(Zone Signing Key) とZSKにをする KSK(Key Signing Key) という 性質の異なる2 種類の鍵を併用することで 問題を解決している JP ゾーン 一致により ZSK 公開鍵の信頼性を確認 で復号 7840 zk37b1 7840 ハッシュ値を計算 一致により の信頼性を確認 6 公開鍵の正当性を検証するための情報 3 4ZSK 公開鍵 5KSKによる :zk37b1 総務省ゾーン 上位の階層の管理者に公開鍵に関する情報を預ける IP アドレス www.soumu.go.jp 203.0.113.1 ZSK 秘密鍵 ハッシュ値を計算 7840 KSK 秘密鍵 ZSK 公開鍵 秘密鍵で暗号化 zk37b1 キャッシュ DNS サーバー 1IP アドレス :203.0.113.1 2ZSK による :ri0e8f 総務省 DNS サーバー ハッシュ値を計算 203.0.113.1 3913 ri0e8f 3913 一致により DNS 応答の信頼性を確認 203.0.113.1 ハッシュ値を計算 3913 秘密鍵で暗号化 ri0e8f 公開鍵で復号 ZSK(Zone Signing Key) ゾーンの DNS データにするための鍵 鍵長は短く のための時間が少なくすむ の安全性を高めるために 鍵の更新を頻繁に行う必要がある KSK(Key Signing Key) ZSK 公開鍵等にをするための鍵 鍵長が長くの安全性が高いため 鍵の更新の頻度が少なくすむ

DNSSEC を利用した DNS 応答の流れ 4 各階層の管理者は あらかじめ自らのを上位の階層の管理者に預ける 各階層の管理者は キャッシュDNSサーバーからの問合せに対し 自らのZSK 秘密鍵による及び下位階層の管理者のIPアドレス及び当該下位階層の管理者のの情報を応答する 加えて 各階層の管理者は 自らのKSK 秘密鍵による及びZSK 公開鍵及びを送付する 応答を受け取ったISP 等は あらかじめ上位階層の管理者から受け取っていたの情報により 問合せ先からの応答の正当性を確認したうえで 次の問合せを行う キャッシュ DNS サーバー ( 最上位の管理者のため ) を事前公開 ルート DNS サーバーの の情報を事前に保有 www.soumu.go..jp の IP アドレスは? ZSK KSK 総務省の IP アドレス JP ZSK 公開鍵 6 総務省の公開鍵情報 JP ルートゾーン ルート DNS サーバー JP ゾーン JP DNS サーバー IP アドレス 公開鍵の情報 jp 203.0.113.2 aaa uk 203.0.113.3 bbb com 203.0.113.4 ccc 総務省ゾーン IP アドレス 公開鍵の情報 soumu.go.jp 203.0.113.5 aaa xxx.jp 203.0.113.6 bbb yyy.jp 203.0.113.7 ccc 上位の階層の管理者に を預ける KSK 秘密鍵 ZSK 秘密鍵 ZSK 公開鍵 上位の階層の管理者に を預ける KSK 秘密鍵 ZSK 秘密鍵 ZSK 公開鍵 KSK 秘密鍵 インターネット利用者 IPアドレス www.soumu.go.jp 203.0.113.1 総務省 DNS サーバー ZSK 秘密鍵 ZSK 公開鍵

ルート KSK の更改 ( ルート KSK ロールオーバー ) について 5 2010 年のルートKSKの導入以来 初めての鍵の更改が本年 7 月 ~ 来年 3 月にかけて予定されている これに伴い キャッシュDNSサーバーを保有するISP 等は 事前公開されているルートKSKの公開鍵の情報を更新する必要がある また ルートKSKの円滑な更改のために 一時的に新旧両方のを送信する期間がある 当該期間は 送信されるデータ量が増大し IPフラグメントが生じることがある ISP 等の事業者は 自らのDNSの応答に係る経路上の機器の設定がIPフラグメントに対応可能か否かを事前に確認しておく必要がある なお ルートDNSサーバーは 応答相手のDNSSEC 対応 非対応に関わらず公開鍵情報を送信してしまうため DNSSEC 非対応の機器についてもIPフラグメントによる問題が生じる可能性がある ルートゾーン KSK 秘密鍵 1 ルート DNS サーバーの公開鍵を新しいものに更新しておく必要 ( 最上位の管理者のため ) を事前公開 IPアドレス 公開鍵の情報 jp 203.0.113.2 aaa uk 203.0.113.3 bbb com 203.0.113.4 ccc ルート DNS サーバー ZSK 秘密鍵 ZSK 公開鍵 今回初めて更改 3 ヶ月ごとに更改 ルート DNS サーバーの公開鍵の情報を事前に保有 キャッシュ DNS サーバー 2 データ量増大に伴う IP フラグメントが生じないことを確認しておく必要 IP フラグメントとは 通信のデータ量が通信機器の設定サイズを超過すると 当該データは分割されて転送される これを IP フラグメントという さらにこの場合 経路上の機器の設定によっては 分割されたデータが破棄され 通信が正常に行われなくなる可能性がある 今回のルート KSK の更改においては 定期的 (3 ヶ月ごと ) に行われるルート ZSK の更改とタイミングが重なる際に IP フラグメントが生じることになる < 通常時 > ヘッダー 更改前ルート ZSK 公開鍵 更改前ルート KSK 秘密鍵 KSK による IP フラグメント発生サイズ < 移行時 ( 最大時 )> インターネット利用者 ヘッダー 更改前ルート ZSK 公開鍵 更改前ルート 更改後ルート ZSK 公開鍵 = 更改後ルート KSK による

クイックガイド : ルート KSK ロールオーバーに向けたシステムの準備 ルート KSK ロールオーバーとは? Internet Corporation for Assigned Names and Numbers(ICANN) は ルートゾーン KSK と呼ばれる ドメイン名システムのセキュリティ拡張 (DNSSEC) プロトコルで使用される暗号化鍵の 最上位 のペアを導入または変更することを予定しています KSK が 2010 年に最初に作成されてから初めての変更となります 定期的なパスワードの変更は インターネットユーザーにとって重要なセキュリティ対策であるように ICANN にとっても今回の措置は重要なセキュリティ対策となります 鍵を変更するには 新しい暗号鍵ペアを生成し 新しいパブリックコンポーネントを DNSSEC 検証リゾルバに配布する必要があります DNSSEC を使用するすべてのインターネットクエリがルートゾーン KSK を利用してその送信先を検証するため これは重要な変更となります 新しい鍵が生成されると ユーザーが Web サイトにアクセスするときに 新しい KSK でその鍵を検証できるように ISP などの Web 関連の事業者は 新しい鍵を使用してシステムを更新する必要があります 準備が必要となる理由 現在 全世界のインターネットユーザーの 25%(7 億 5,000 万人 ) が DNSSEC 検証リゾルバを使用しており KSK ロールオーバーの影響を受けると考えられます 新しい KSK が導入されるときに これらの検証用のリゾルバに新しい鍵がない場合 これらのリゾルバを利用しているエンドユーザー側でエラーが発生し インターネットにアクセスできなくなります DNSSEC を使用していない場合 システムはロールオーバーの影響を受けません しかし DNSSEC はドメイン名のハイジャックを防止する上で重要な役割を果たします DNSSEC の導入についての詳細は こちらをご覧ください DNSSEC の検証を有効にしている場合は 新しい KSK を使用してシステムを更新し ユーザーが引き続きインターネットにアクセスできるようにする必要があります ICANN は 事業者や関係者がシステムで自動更新プロセスを正しく処理できることを確認するためのテストベッドを提供しています 次のサイトにアクセスしてシステムの準備が整っていることを確認します go.icann.org/ksktest. Designed by ICANN Communications 2017 年 3 月クリエイティブ コモンズ表示 - 非営利

必要な操作 新しいルートゾーン KSK は 2017 年 2 月に公開されており ロールオーバーの実施前にいつでもシステムを更新できます また 一部のシステムではすでに自動更新が行われている場合があります 以下の状況によって 実施する必要がある操作は異なります DNSSECトラストアンカー (RFC 5011) の自動アップデートがソフトウェアでサポートされている場合 : KSKは適切なタイミングで自動的に更新されます 特にユーザーによる操作は必要はありません ロールオーバー中にオフラインになっているデバイスについては ロールオーバーの完了後にオンラインになった場合 手動で更新する必要があります ICANNは 2017 年 3 月 17 日からテストベッドの提供を開始しています テストベッドを使用すると 事業者や関係者は システムが自動更新プロセスを正しく処理できるかどうかを確認できます 詳細については icann.org/kskrollをご覧ください お使いのソフトウェアが DNSSECトラストアンカー (RFC 5011) の自動更新をサポートしていないか または使用するように設定されていない場合 : ソフトウェアのトラストアンカーファイルを手動で更新する必要があります 新しいルートゾーンKSKは 2017 年 3 月以降 ここから入手できます KSK ロールオーバーの実施時期 KSK のロールオーバーは一連のプロセスであり 一度限りのイベントではありません 以下の日付は このプロセスの重要な工程であり エンドユーザーはインターネットサービスに一時アクセスできなくなる場合があります 2017 年 9 月 19 日 2017 年 10 月 11 日 2018 年 1 月 11 日 2018 年 3 月 22 日 2018 年 8 月 ルートネームサーバーからの DNSKEY 応答のサイズが増大 新しい KSK を初めてに使用 古い KSK を失効 古い KSK がルートゾーンに表示される最終日 古い鍵を 両方の ICANN の鍵管理システムの機器から削除 今後の変更に対する準備を進める上で役立つリソースなど ロールオーバーに関する詳細については icann.org/kskroll をご覧ください KSK Rollover という件名を付けて globalsupport@icann.org に電子メールを送信いただくこともできます #KeyRoll を使用して Twitter でのコミュニケーションに参加いただくこともできます Designed by ICANN Communications 2017 年 3 月 Creative Commons Attribution - NonCommercial

資料 3-2 事務連絡平成 29 年 7 月 18 日 各府省庁情報セキュリティ担当課室長殿各府省庁情報システム担当課室長殿 内閣官房内閣サイバーセキュリティセンター内閣参事官 ( 基本戦略担当 ) 内閣参事官 ( 重要インフラ担当 ) 内閣参事官 ( 政府機関総合対策担当 ) 内閣官房情報通信技術 (IT) 総合戦略室内閣参事官 DNS の世界的な運用変更に伴うキャッシュ DNS サーバーの設定更新の必要性について この度 インターネットの重要資源の世界的な管理 調整業務を行う団体 ICANN(Internet Corporation for Assigned Names and Numbers) から DNS( ドメインネームシステム ) において電子の正当性を検証するために使う暗号鍵の中で最上位となる鍵 ( ルートゾーン KSK) を更新することが発表されました これに伴い キャッシュ DNS サーバーを運用する者においては 速やかに事前公開されているルートゾーン KSK の公開鍵の情報を更新する等の措置を講じる必要があります 本年 9 月 19 日までに必要な措置が講じられない場合 ウェブサイトへのアクセスやメールの送信ができない利用者が生じる可能性があります 上記内容について総務省から内閣サイバーセキュリティセンター及び情報通信技術 (IT) 総合戦略室に対し周知依頼がありましたので 別紙の内容をご確認のうえ対策を講じるようお願いいたします また 独立行政法人その他の所管する法人に周知するとともに 業界団体を通じて連絡する等により所管する産業界 ( 重要インフラ事業者を含む ) へも幅広く周知していただきますようお願いいたします 問合せ先 内閣官房内閣サイバーセキュリティセンター 重要インフラグループ齊藤 佐藤 川上 政府機関総合対策グループ石黒 久保山 03-3581-8903 03-3581-3959 内閣官房情報通信技術 (IT) 総合戦略室 電子行政班大平 川口 03-3581-3467

別紙 インターネットの重要資源の世界的な管理 調整業務を行う団体 ICANN(Internet Corporation for Assigned Names and Numbers) が DNS( ドメインネーム システム ) で利用されている DNSSEC に必要な電子鍵を初めて交換することが発表されました DNSSEC の電子正当性を確認するために使う鍵の中で 最上位となる鍵 ルートゾーン KSK について 信頼性維持のため本年 7 月 ~ 来年 3 月に更改作業が行われ 本年 9 月から新旧の鍵の併用が開始されます キャッシュ DNS サーバーを運用されている事業者等については 別紙詳細を確認いただき 鍵更改への追従 鍵の移行期間中のデータ量 (UDP メッセージサイズ ) 増大 への対応を確実に実施していただきますようお願いします なお本年 9 月 19 日までに必要な処置が講じられない場合 Web アクセスやメール送信などができない利用者が生じる可能性があります 対象者 DNS を用いた検索を実際に行う キャッシュ DNS サーバー の運用者全て例 : 契約者向けに提供するインターネットサービスプロバイダ LAN 利用者向けに提供する官庁 独法 学校 企業など DNSSEC を無効にしている方も下記影響 対応の 2 についてご確認ください 影響 1 検索結果の正当性が確認できなくなり利用者のネット利用に不具合が生じる 2 検索結果の受信データ量 (UDP メッセージサイズ ) が増大することから 利用者のネット利用に不具合が生じる可能性がある 対応 1 鍵の更改 に追従する キャッシュ DNS サーバーのソフトウェアを最新版に更新する キャッシュ DNS サーバーにおいて DNSSEC のトラストアンカーの自動更新の設定を行う 2 鍵の移行期間 のデータ量 (UDP メッセージサイズ ) 増大に対応する キャッシュ DNS サーバーにおいて UDP 受信サイズを 4096 オクテットの検索結果が受信できる設定を行う キャッシュ DNS サーバーにおいて 4096 オクテットの検索結果が受信できるか確認する < 使用している DNS サーバーが 4096 オクテットの検索結果を受信できるか確認例 > WEB での確認例 http://keysizetest.verisignlabs.com/ コマンドラインでの確認例 dig +bufsize=4096 +short rs.dns-oarc.net txt JPRS ルートゾーン KSK ロールオーバーによる影響とその確認方法について https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.html ICANN Root Zone KSK Rollover https://www.icann.org/resources/pages/ksk-rollover

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック