設定更新の必要性について
【外部リンク】
https://www.nisc.go.jp/active/general/pdf/taisaku_170718.pdf
事 務 連 絡
平成 29 年 7 月 18 日
各府省庁情報セキュリティ担当課室長 殿
各府省庁情報システム担当課室長 殿
内閣官房 内閣サイバーセキュリティセンター
内閣参事官(基本戦略担当)
内閣参事官(重要インフラ担当)
内閣参事官(政府機関総合対策担当)
内閣官房 情報通信技術(IT)総合戦略室
内閣参事官
DNSの世界的な運用変更に伴うキャッシュDNSサーバーの
設定更新の必要性について
影響
① 検索結果の正当性が確認できなくなり利用者のネット利用に不具合が生じる。
② 検索結果の受信データ量(UDPメッセージサイズ)が増大することから、利用者のネッ
ト利用に不具合が生じる可能性がある。
対応
① 「鍵の更改」に追従する。
・キャッシュDNSサーバーのソフトウェアを最新版に更新する。
・キャッシュDNSサーバーにおいてDNSSECのトラストアンカーの自動更新の設定を行う。
② 「鍵の移行期間」のデータ量(UDPメッセージサイズ)増大に対応する。
・キャッシュDNSサーバーにおいてUDP受信サイズを4096オクテットの検索結果が受信できる設
定を行う。
・キャッシュDNSサーバーにおいて4096オクテットの検索結果が受信できるか確認する。
インターネットの重要資源の世界的な管理・調整業務を行う団体ICANN(Internet
Corporation for Assigned Names and Numbers)がDNS(ドメインネーム・システム)で利
用されているDNSSECに必要な電子署名鍵を初めて交換することが発表されました。
DNSSECの電子署名正当性を確認するために使う鍵の中で、最上位となる鍵「ルートゾー
ンKSK」について、信頼性維持のため本年7月~来年3月に更改作業が行われ、本年9月から
新旧の鍵の併用が開始されます。
キャッシュDNSサーバーを運用されている事業者等については、別紙詳細を確認いただ
き、「鍵更改への追従」「鍵の移行期間中のデータ量(UDPメッセージサイズ)増大」への対応
を確実に実施していただきますようお願いします。
なお本年9月19日までに必要な処置が講じられない場合、Webアクセスやメール送信など
ができない利用者が生じる可能性があります。
別紙
<使用しているDNSサーバーが4096オクテットの検索結果を受信できるか確認例>
・WEBでの確認例 http://keysizetest.verisignlabs.com/
・コマンドラインでの確認例 dig +bufsize=4096 +short rs.dns-oarc.net txt
【JPRS】ルートゾーンKSKロールオーバーによる影響とその確認方法について
・https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.html
【ICANN】Root Zone KSK Rollover
・https://www.icann.org/resources/pages/ksk-rollover
