2017年7月18日、内閣サイバーセキュリティセンター (NISC) は、「DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性について」を公開しました。この文書では、ICANN によるルートゾーンの DNSSEC 鍵署名鍵 (KSK) の更新に伴い、キャッシュ DNS サーバの運用者に対して、以下の措置を講じるよう呼びかけています。 - DNSSEC 検証を実施している場合、トラストアンカーの自動更新が適切に設定されているか確認する- サイズの大きな DNS 応答を正しく受け取れるかを確認する また、ネットワーク管理者も以下の点を確認するよう、株式会社日本レジストリサービス (JPRS) が呼びかけています。 - フルリゾルバから組織外ネットワークまでの間に存在するネットワーク機器の設定を確認する- 必要に応じて、ネットワーク機器のファームウエア・ハードウエアを更新する なお、応答サイズの増大については、DNSSEC 検証を実施していない場合でも影響を受けるため、全てのキャッシュ DNS サーバでの対応が必要です。これらの措置を講じない場合、2017年9月19日以降、ウェブサイトへのアクセスやメールの送信ができなくなる可能性があります。また、ICANN および JPRS が、それぞれルートゾーン KSK ロールオーバーに関する情報を公開していますので、あわせて参考にしてください。
参考文書(日本語)
-
内閣サイバーセキュリティセンター (NISC)
DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性について
https://www.nisc.go.jp/active/general/pdf/taisaku_170718.pdf
-
株式会社日本レジストリサービス (JPRS)
ルートゾーンKSKロールオーバーの概要と影響の確認方法(最終更新:2017年7月25日)
https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.pdf
-
株式会社日本レジストリサービス (JPRS)
ルートゾーンKSKロールオーバーによる影響とその確認方法について
https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.html
-
Internet Corporation for Assigned Names and Numbers (ICANN)
ルートゾーンKSKのロールオーバー
https://www.icann.org/resources/pages/ksk-rollover-2017-05-31-ja
Weekly Report 2017-07-26号 に掲載