［米国］
DNSの“生みの親”、セキュリティ対応の遅さを一喝

「DNSSECの普及を遅らせているIETFに責任あり」との見解を示す

（2008年11月12日）

　DNSが抱えるセキュリティ上の問題がIT業界で叫ばれるにもかかわらず、その解決策の1つと目されているDNSSEC（Domain Name System Security Extension）の普及は遅々として進んでいない。そうした現状への危機感を声高に訴えるのが、DNSSECの考案者でありDNSの“生みの親”として広く知られるポール・モッカペトリス（Paul Mockapetris）氏だ。

　DNSのセキュリティを向上させる拡張仕様であるDNSSECについては、標準化団体IETF（Internet Engineering Task Force）が普及活動に長年取り組んでいる。しかしモッカペトリス氏は、IETFに対して次のような苦言を呈している。「IETFがDNSSECの規格について議論してきた15年という歳月はあまりに長すぎた。しかもそれは“内輪もめ”に等しい内容だ。その間、DNSに潜むセキュリティ上の問題にしっかり対応できずにいたことで、多くのインターネット・ユーザーを不必要にマルウェアにさらしてきたのだ」

米国NominumのWebサイト

　そして、今年7月にセキュリティ研究者のダン・カミンスキー（Dan Kaminsky）氏が発見したDNSプロトコルの欠陥（関連記事）についてモッカペトリス氏は、「DNSに潜む脆弱性の最たるものだ」と強調した。

　現在、米国Nominumの会長を務めるモッカペトリス氏は、1980年代にDNSを開発した際、セキュリティ対策の仕様はあとで追加すればよいと考えあえて除外したという。「当時すでにDNSSECの開発は最終段階に達していたにもかかわらず、まだ時期尚早だと考えたのだ。だがその結果、この規格がいまだに広く採用されていないという事態を招いてしまった」と同氏はこぼす。

　今のところ、国家レベルでDNSSECの実装に合意しているのは、スウェーデンとプエルトリコだけだという。

　また、企業でDNSSECの実装を検討する際には、その技術的複雑さが大きな足かせとなっているとモッカペトリス氏は指摘する。「これまで、DNSSECに関する議論のほとんどは技術者レベルで行われており、広くビジネス社会で議論されることがなかった。そのため、経営陣が理解できるようなビジネス視点での説明をだれもできないのだ。単にDNSSECの技術的な内容を語ったのでは、経営陣やビジネス部門の人たちにはまったく理解してもらえない」

　とはいうものの、モッカペトリス氏は、「大きな視点で見れば、DNSはうまく持ちこたえている」との見解を示している。

　「私がDNSを設計した当時、サポートするサーバは5,000万台程度だろうと見込んでいたが、実際には今では10億台を超えている。開発者というのは予想の6倍の数字まで見越しておくものだというのが持論だが、それでも私の予想を数倍上回る数字だ。にもかかわらず、DNSが機能していることには満足している」（同氏）

　加えてモッカペトリス氏は、「DNSSECが普及することで、DNSの寿命はさらに延びるはずだ。そのためにも一刻も早いDNSSECの普及が望まれる。ただし、DNSが永久には続かないシステムであることももちろん承知している」と語った。