皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今、DNS（Domain Name System）インフラを狙った攻撃が増加していることを受け、ICANN（Internet Corporation for Assigned Names and Numbers/アイキャン）が『DNSSEC（Domain Name System Security Extensions）』の導入を呼び掛けています。

では、『DNSSEC』を導入することで何が変わるのでしょうか？

DNSSEC導入で防げるリスク

このDNSインフラの改ざん被害、米国土安全保障省も全省庁に警戒と緊急対策を指示しているほど深刻な問題です。

ではDNS情報の改ざんは検知できないのか？

『DNSSEC』を導入すればそういった改ざんは検知できます。

『DNSSEC』はデータに対してデジタル署名を行うことで改ざんを防ぐ技術ですから、その導入が進めば多くのDNS情報の改ざんが検知できることになります。

（※　すべての攻撃を防げるわけではありません。）

つまり、リスクを減らすことができるわけです。

この『DNSSEC』、日本においてはさらに遅れた状態になっています。

『DNSSEC』はドメインのレジストラとホスト、両方がそれに対応している必要があり、一部のレジストラにおいては有償オプションとして対応しているものの、ホスト側においてはなかなか対応に踏み切っているところは少ない状態にあります。

また、ユーザー側の認知度も低い状態です。

それらを考えると日本における普及はまだまだ時間がかかりそうですが、少しでも多くのレジストラやホスティング会社の対応、そしてユーザーの利用が進むことを願うばかりです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、米国のあるドメインレジストラ（指定事業者）からメールが届きました。

それによると、以前から延期となっていた『ルートゾーン情報の電子署名鍵（KSK：Key Signing Key）の更新（ロールオーバー）』が承認されたとなっています。

ICANNのロールオーバー承認による影響

今年の夏の時点では2018年10月11日の実施を予定していることにはなっていたものの、それはICANN（The Internet Corporation for Assigned Names and Numbers）理事会の承認待ちという状態でした。

しかし、レジストラからのメールによるとそれが最近承認されたとなっており、予定通り今月11日にKSKのロールオーバーが実施されることになります。

これによって影響を受けるのは、基本的には『DNSSEC（Domain Name System Security Extensions）』が有効になっているドメインに限りますが、以前の記事にも書いた通り、KSKロールオーバーによってDNS応答のパケットサイズが通常の倍以上になってしまった場合、ホスティング会社においてDNSキャッシュサーバへの対応がなされていなければDNSSECが有効になっていなくても影響を受ける可能性があります。

つまり、その場合は名前解決ができなくなり、ウェブサイトが閲覧できない状態になる可能性を秘めています。

行える対応策としては、

１．DNSSECが有効になっている場合、それを一度無効にする。それでも解決しない場合はISP（インターネットサービスプロバイダ）から新しい鍵を取得し、レジストラ側の更新を行う。

２．DNSSECが無効になっている場合、前述の通りホスティング会社のDNSキャッシュサーバへの対応によると思われますので、契約のホスティング会社に問い合わせてみることになります。

来週は自社（自店）運営サイトなどに注意です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、『WordPress4.9.6でGDPR対応』という記事でも触れた通り、EU圏で始まった『GDPR』の影響はドメインにも及んでいます。

それは一体どういう意味なのでしょうか？

GDPRの影響がドメインにも出た

今回、ある海外のレジストラ（ドメインの登録・管理などを行う業者）が早々に手を打ってきました。

プライバシーを保護するための『Whois Guard』を永久に無料にすることを決めたのです。

ドメインは、登録者、管理者、技術担当者などの情報がデータベース化されており、これを保護する契約をしないと誰にでもそれらの情報が見れてしまいます。

そして、日本においてはドメインの新規登録時に同時申し込みをすることで無料になるキャンペーンを続けているところが多いようですが、海外の場合は基本的には常時オプション扱いで別料金が発生していました。

この、オプション扱いとなっている有料サービスは、GDPRによってプライバシーの保護が義務化されるため無条件で提供せざるを得ないということになります。

実はこの問題、既に『ICANN（Internet Corporation for Assigned Names and Numbers）』が『WHOIS』というデータベースに対して取り組みを続けているという報道が出ていました。

しかし、GDPRに違反した場合最大で2000万ユーロまたは年間売上高の4%のいずれか高い方を科される可能性があるため、早々に永久無料という措置を取ってきたのでしょう。

現に、GDPR施行直後に米国大手IT関連企業が既に提訴されてもいます。

これらのことを受け、今後はこのような動きが他でも出てくるのではないかと思われます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今年の夏から来年の春にかけ、ICANN（The Internet Corporation for Assigned Names and Numbers）がルートゾーンに重要な更新を実施するようです。

さて、重要な更新とはいったい何が起きるのでしょうか？

KSKロールオーバーが行われる

以前、『DNSSECを使えるなら使うべき』という記事などにおいて『DNSSEC』というものに関して触れましたが、このDNSSECにおいてDNS応答の検証に使われるルートゾーン情報の電子署名鍵（KSK：Key Signing Key）が更新（ロールオーバー）される、これが今回行われる重要な更新ということです。

DNSのルートゾーンには、ルートゾーンのレコードに署名するZSK（Zone Signing Key）と、そのZSKに署名するKSKとがあり、ZSKは3ヶ月に一度更新されるようですが、KSKは今まで一度も更新されたことがなく、今回初めて更新されることになります。

（本来は5年に一度更新されることになっているようですが、今回は初めての更新のため、2年間の準備期間を設けていたようです。）

では、これによってどのような影響があるのでしょうか？

DNSSEC未使用でも影響を受ける

KSKロールオーバーによる影響は、前述のDNSSECを使っていなければ問題ないというわけではなく、DNSSECを使っていなくても影響を受ける可能性はあるようです。

これは、KSKロールオーバーによってDNS応答のパケットサイズが通常の倍以上になってしまう可能性があり、それによって名前解決ができなくなる、つまり、DNSSECの有無にかかわらず影響を受ける可能性があるということです。

名前解決ができなくなった場合はどうなるか？

当然、ウェブサイトは閲覧できない状態になります。

ただし、実際に影響を受けるのはDNSキャッシュサーバの運用者などになりますので、ホスティングでウェブサイトを公開しているだけの一般ユーザーは基本的には影響はないようですが、ホスティング会社なども現在対応を協議中としているところもあり、その対応がなされれば問題は発生しないということにはなります。

ご参考までに。