DNS（Domain Name System）は、階層別にドメイン名とIPアドレスを変換（名前解決）することで、インターネットのアクセスを可能にしている。このDNSの一番上位の階層にある「ルートゾーン」の設定に対し、それを管理するICANN（The Internet Corporation for Assigned Names and Numbers）が今年の夏から来年の春にかけて重要な更新を実施する予定だ。これにともない、インターネットの名前解決にも支障をきたす＝インターネットに接続できない状況が起こりえる可能性もあるという。 このような問題が発生すると一般のインターネットユーザーにまで波及する可能性があるが、この事実をどれだけ多くのネットワーク運用者が認識しているだろうか？ 認知がまだまだ行き届いていないこともあり、一般社団法人日本ネットワークインフォメーションセンター（JPNIC）の主催で6月1日に開催したカンファレンス「Internet Weekショーケース in 名古屋」でも、これに関する注意喚起を行った。 同カンファレンスにおける米谷嘉朗氏（株式会社日本レジストリサービス）と末松慶文氏（九州通信ネットワーク株式会社）の発表をもとに、今後どのようなことが起こるのか、どんな対策が必要か、詳しく解説していきたい。

ルートゾーンにどんな変更が加えられ、誰に影響するのか？ 通常、DNSの応答が詐称されると、偽のウェブサイトに誘導されたりメールを横取りされたりしてしまう。それを防ぐために考えられたのが、電子署名を用いてDNSの応答が正しいことを検証する「DNSSEC」だ。DNSSECでは、ルートゾーン情報の電子署名鍵（KSK：Key Signing Key）の公開鍵（トラストアンカー）を持てば、誰もがルートDNSサーバーからのDNS応答の正しさを検証できる。 今回、ICANNによって行われるのは、このルートゾーン情報に対するKSKを、一連の作業によって更新（ロールオーバー）するということだ。 ルートゾーンには、ルートゾーンのレコードに署名する鍵（ZSK：Zone Signing Key）と、そのZSKに署名するKSKとがある。ZSKは3カ月に一度更新されているが、KSKは今まで一度も更新されたことがない。本来は5年に1回更新することになっているのだが、ルートゾーンにDNSSECが導入されてから7年、今回初めて更新がなされる。今までに誰も経験したことがない更新であるために注視が必要であり、世界中の関係者によって、この2年間、非常に綿密にKSKの更新について計画がなされ、やっと実施できる段階に入ってきたとのことだ。 「うちはDNSSECを使っていないから大丈夫」と侮るなかれ。DNSSECを利用していなくても影響を受けるのだ。 では一体、どのような影響が、誰に対してあるのだろうか？ 影響を受ける対象者は、大きく分けて次の3タイプがあるという。 DNSキャッシュサーバー（フルリゾルバー）の運用者

権威DNSサーバーの運用者

顧客のネットワークを運用しているシステムインテグレーター

「IPフラグメント」で名前解決が出来なくなる可能性、その確認方法とは 次に、KSKの更新によって、どんな影響が出るのか？ 1つは、DNSの応答の「IPフラグメントが発生する」ということだ。 IPフラグメントが発生し、パケットが欠落するなどすると、DNSSEC検証の有効・無効問わず、名前解決ができなくなる。ルートの名前解決できないと、そこから先の名前解決も失敗するため、ユーザーからするとインターネット全体が使えないように見えてしまう。 このIPフラグメントは、DNSSECの公開鍵（DNSKEY）を含むパケットが、鍵の更新中には応答サイズが通常の倍以上に増加するために起こる。扱える応答サイズは512バイトというのが1つの壁だということだが、「512バイト以上のUDPパケットを扱えるか、すなわち、EDNS0に対応しているか」、また、「IPフラグメントしたUDPパケットを扱えるかどうか」が肝になるということだ。 DNSSEC検証を有効にしているDNSサーバーの運用者の場合は、さらに注意が必要だ。IPフラグメントにより、DNSKEYが受け取れなくなる可能性もあったり、トラストアンカーが更新されなかったりする可能性が出てくる。それによっても名前解決はできなくなる。 特に、ユーザーを抱えている企業や組織にこれが起こると大変困ったことになる。そのため、それが起こるのかどうかを、今すぐに、そして後述する重要ポイントの「事前に」確認することが本当に必要だという。IPフラグメントで名前解決に成功するかしないかは、次の方法で簡単に確認できるとのことだ。DNSパケットが通るすべての通信経路を確認して、可能な範囲で検証することが必要である。 ウェブでの確認方法「DNSSEC Key Size Test」

（このサイトでチェックをし、チェックボックスの4つ目まで緑だったらOK）

（このサイトでチェックをし、チェックボックスの4つ目まで緑だったらOK） コマンドラインでの確認方法

dig +bufsize=4096 +short rs.dns-oarc.net txt ここで不具合があったというときに、何をすべきなのだろうか？ IPフラグメントは、DNSサーバーと関係ないネットワーク中継機器で起こる。どこで失敗しているかの特定は、ネットワークの構成が実にさまざまなケースがあるため、複雑かつ責任分解点も難しいところだという。確認のポイントとしては、自分の近いところから、ハードウェアとソフトウェアの両面から見ていくこと。後述する重要な日付で実際に問題が起こったときには、各ベンダーのサポートを即座に受けられないなど、問題の解決に時間がかかる可能性がある。今の段階でベンダーやシステムインテグレーターと確認し、それでも原因が分からない場合には、上位のISPに相談するなどが有効だ。手順については確立したものがあるわけではないので、もしそういう知見を得た場合には、いろいろな場やコミュニティでシェアするのもよさそうだ。 ちなみに、IPv6ではOKだけれど、IPv4だったら問題があったなどという例もあるそうなので、両方のトランスポートでテストをやってみて欲しい。