DNSオペレータ達の夏の祭典・DNS Summer Day 2018に参加してきました

昨日 6/27、今年も DNS Summer Day が開催されました。日本DNSオペレーターズグループ主催による DNS 運用者のためのイベントです。

昨年 に続いてわたしも参加してきましたので、行われた発表の内容について簡単にレポートします。

開催趣旨

インターネットの基盤技術の一つであるDNSは、重要性がますます高まっている にもかかわらず、その運用には十分な関心が払われておらず、また必要な予算や 人材などもきちんと割り当てられているとは言えない状況が継続しています。

このようなDNSの状況に鑑みて、今年も引き続きDNSのイベントを開催することと いたしました。

• 日本DNSオペレーターズグループ | DNS Summer Day 2018 より引用

なお、前回に続き今回も各企業の協賛で行われました（並びは申込順）。

• 株式会社XACK
• アカマイ・テクノロジーズ合同会社
• 株式会社日本レジストリサービス（JPRS）
• SCSK株式会社
• 日商エレクトロニクス株式会社
• F5ネットワークスジャパン合同会社

今年の会場は、東京駅に隣接して立つ朝日生命大手町ビルの5F、フクラシア東京ステーション の貸し会議室でした。

発表

登壇・セッションのリストは上述の URL をご参照ください。ここでは概要を簡単にご紹介しますが、各発表の資料は今後公開が予定されていますので、詳細はそちらをお待ちください（いくつかは既に公開されています）。

（登壇者敬称略）

権威DNSサーバー脱自前運用のススメ

• スピーカー : 島村 充
  • 株式会社インターネットイニシアティブ
• 登壇資料(PDF)
• 話を聞いて貰いたい方
  • 権威DNSサーバを運用管理していて疲れている方
  • もっと他のことに時間を使いたい方
• 自分で権威DNSサーバを運用する必要あるのか？
  • 参考 : 権威DNSサービスのダイバーシティ @ 20171130 DNSOPS.jp BoF
• メリット
  • バージョンアップからの解放、高可用性、運用コスト削減、DDoS対策、DNSSEC対応…
• デメリット
  • 直接的なコスト、他の顧客と共用していることのリスク、対応が業者任せ…
• SaaS DNSに求められそうな機能
  • 普通の権威DNSサーバの機能はひととおり
  • DNSSEC
    • 意外と対応していないサービスが多い
  • GLB（広域負荷分散）
  • Zone APEXにCNAMEもどき
    • ALIAS/ANAME
  • セカンダリ関連機能(ゾーン転送する/受ける)

LT : 例の有償ソフトでDNS構築してみた

• スピーカー : 松本 章
  • KDDI株式会社
• 登壇資料(PDF)
• BINDからの移行先として、Nominum、BIG-IP DNS、XACK DNSを評価しその特徴を公開
  • DNS ベースのセキュリティ | Akamai | Nominum
  • BIG-IP DNS is secure DNS for global app availability | F5
  • 製品紹介｜XACK DNS | XACK

LT : ネット系だけど、非テック企業のDNS管理の実態

• スピーカー : 永浜 忍
  • ネットスクール株式会社
• DNS運用を引き継いだ担当者の悲哀あふれる体験談
• 結論：引き継いだ情報はあてにならない
• まとめ：だれか面倒みて！

LT : 権威DNSサーバを作ってみよう

• スピーカー : 坂口 俊文
• 登壇資料(PDF)
• フルリゾルバ（DNSクライアント）のファジングのために権威DNSを作成
• ファジング = バグや未知の脆弱性を検出
  • クエリに対する応答を改変して、フルリゾルバが異常終了する条件を探す

サービスセッション : SIer、Developerから見たBINDからの移行

• スピーカー : 佐藤 匠
  • 三菱電機インフォメーションシステムズ株式会社
• 矢島 崇史
  • 株式会社XACK
• BINDの代替としてXACK DNSを導入した
  • BINDの柔軟性のためにいろいろと苦労した、という話
• XACK DNSはさらに互換性が増した、今後も検証や機能拡張を進める

サービスセッション : DNSセキュリティはDNSサーバーで

• スピーカー : 鳥巣 正義
  • アカマイ・テクノロジーズ合同会社
• Nominum, now part of Akamai
  • DNS ベースのセキュリティ | Akamai | Nominum
  • アカマイ、Nominum の買収に合意 | Akamai

サービスセッション : JPRSの技術情報発信 ～取り組みのご紹介～

• スピーカー : 森下 泰宏
  • 株式会社日本レジストリサービス（JPRS）
• 登壇資料(PDF)
• インターネットの安定運用を目的に情報発信している
  • Web、メルマガ、イベント、ML、技術雑誌、SNS…
• 2019/2/1 DNS flag day
  • 参考 : DNS flag dayについて（速報版） - dns-flag-day.pdf

サービスセッション : 貴社のDNSが狙われている　～とまらないDDoS攻撃の脅威～

• スピーカー : 佐々木 崇
  • アーバーネットワークス　株式会社
• セキュリティレポートより
  • アーバーネットワークスが最新の「ワールドワイド・インフラストラクチャー・セキュリティー・レポート　第13版」を発行
• 2016,2017年の最大DDoSトラフィックは 600Gbps〜800Gbps
• 今年(2018) 1.7Tbpsの攻撃を確認
• 現在、数十Gbps程度のDDoSは日常的に起きている、そして何事もなく防がれている
• DDoSアンプ攻撃に使われるプロトコルはDNSとNTPが多い
• ARBOR APRの紹介
  • DDoS 攻撃対策 – Arbor Networks

LT : gTLD動向 ～GDPR対応はRDAPで～

• スピーカー : 森 健太郎
  • 株式会社日本レジストリサービス（JPRS）
• 登壇資料(PDF)
• WHOISに登録される個人情報がGDPR上問題になる
• RDAPには公開情報を認可する仕組みがあるので、そちらを使って対応可能
• WHOISが抱えている問題もRDAPで解決できるので、gTLDについてはRDAPに全面移行予定

LT : ID4me

• スピーカー : Jan Hilberath
  • Open-Xchange
• 登壇資料(PDF)
• "ID4me is your Universal Digital Profile (UDP). A public, open, federated digital identity service"
• DNSプロトコル(TXT RR + DNSSEC)を使った SSO (OpenID Connectのようなもの)
• Internet Draftが二つ出ている
  • draft-bertola-dns-openid-pidi-architecture-01 - An Architecture for a Public Identity Infrastructure Based on DNS and OpenID Connect
  • draft-sanz-openid-dns-discovery-01 - OpenID Connect DNS-based Discovery

LT : ED25519のすすめ

• スピーカー : 藤原 和典
  • 株式会社日本レジストリサービス（JPRS）
• 登壇資料(PDF)
• (TLS1.3等でも使われている) 電子署名アルゴリズム実装の Ed25519 が DNSSEC でも使えるようになった
• 署名・検証が高速
• 鍵サイズが小さい = パケットのフラグメントがおきにくい

LT : 5分でわかるセキュアなローカルDNS

• スピーカー : そのだ まなぶ
• LAN内部にある端末は、内部に関するDNSクエリだけできれば良いのではないか、という提言

BIND9.9から9.11へ移行のポイント -9.9系サポート終了まであと三日！

• スピーカー : 末松 慶文
  • 株式会社QTnet
• 阿波連 良尚
  • 株式会社日本レジストリサービス（JPRS）
• 登壇資料(PDF)1 登壇資料(PDF)2
• 補助資料(PDF)
• 9.9のサポート期間について（数ヶ月延びた）
• 機能差分・互換性について
• DNS Cookie
  • 9.11 から標準で有効になった
  • RFC 7873 - Domain Name System (DNS) Cookies
  • DNSメッセージの偽装を検知する仕組み
  • ロールオーバー機能がないなど使いにくい -> 9.11.4 で解消される予定

ドメイン名 ハイジャックされないために

• スピーカー : 其田 学
  • 日本DNSオペレーターズグループ
• ドメイン名に対する攻撃
  • ドメイン名ハイジャック
  • ネームサーバハイジャック(NSレコード書き換え)
  • 経路ハイジャック、MITM <- 今回の話のスコープ外
  • キャッシュポイズニング <- 同上
• 攻撃者にとって価値があるドメインであれば、個人所有のドメインであっても狙われる
• 多要素認証
  • FIDO
    • FIDOの仕組み - FIDO Alliance
    • キーデバイス上にドメイン名ごとに暗号化鍵、複合化鍵を格納
    • 認証するサーバに対して複合化鍵を登録
    • ドメイン名ごとに鍵が作られるのでなりすましに強い
• レジストリ・レジストラがやられてしまったらどうしようもない
• まとめ
  • レジストリ・レジストラをよく見て選びましょう
  • 出来る対策はできるだけしましょう
  • FIDOいいですよ

パネルディスカッション : DNSブロッキング

• 日本DNSオペレーターズグループ
  • モデレータ
  • 　橘 俊男
  • パネリスト
  • 　石田 慶樹
  • 　山本 功司
  • 　山口 崇徳
• 登壇資料(PDF)

センシティブな話題なので、不用意なまとめ方にならないようまとめは省略しますが、DNSブロッキングは「問題のあるサイトへの対策」のための手段としては副作用も多く筋が悪い、その問題のあるサイトを直接停止できるような法整備を行うべき、という意見にはうなずく以外ありませんでした。

また、通信の秘密が絡む議論には「電気通信事業に従事するものに憲法違反行為をさせる」という認識と、それに基づくケアが必要だというのも、現場を預かる方からの意見として非常に重いものだと感じました。

まとめ

今年で7回目となった DNS Summer Day。年1回の開催と言うことで、毎回そのときのトレンドが分かるのが楽しいです。実装（BIND）の話やセキュリティといった大枠の話題は例年と変わらず、より実践に近い話が今年は色濃かったように感じました。

また、トレンドという意味では DNS ブロッキングの話題も興味深いものでした。わたしも以前 ISP に所属していたことがあって、そのときは OP25B（外部へのSMTPブロッキング）をどうするかという問題がありました。ITインフラは現場に縁の無いひとにとって非常に分かりにくく、様々な誤解をもって扱われるという印象なので、現場におられる方々には頭が下がります。少しずつでも良い方向に動いていくと良いなと感じています。

ちなみに今年の缶バッジは DNS flag day に関するものでした。M ルートサーバ 20周年記念ステッカーもいっしょに配布されていて、わたしも早速ノートPCに貼りました。

• DNS flag dayについて（速報版） - dns-flag-day.pdf

缶バッジの旗の色分けには意味があるとのことです。分かりますでしょうか？ｗ