「遮断」という表現は適切か

　7月21日に報じられた朝日新聞の記事によれば、「9月19日までにしかるべき設定をしないと、企業のLANはインターネットから遮断されるおそれがある。」とある。記事には「一般の利用者は契約通信事業者が対応する（ので対応の必要はない）」とも書かれているが、記事の見出しや内容から受ける印象は、「なにかネット上で大きなイベントがあり、対応しないとネットが使えなくなる」ではないだろうか。

　事情を知っている専門家は、逆に「そんな大きな変更やイベントが予定されていたっけ？ なんのこと？」と思われたかもしれない。SNSの反応でも「KSKのロールオーバーのことをなんでこんな書き方するんだ？」という書き込みも見受けられた。

　もし、ルートゾーンの署名鍵（KSK）のロールオーバー（更新作業）対応をしないでいたり、更新に失敗してもそのまま放置したりしていれば、そのキャッシュネームサーバーはルートゾーンサーバーの正しい署名が確認できなくなる。結果としてそのゾーンに属するホストやデバイスは、ドメイン名でインターネットにアクセスできなくなる可能性がある。しかし、これは記事が言うようなネットワークの「遮断」ではない。ドメイン名を利用せずIPアドレスによる直接的な通信は可能である。

　そもそも総務省の通達も、一般向けのものではない。業界としてはほぼ周知のことだが、ICANNからの正式連絡とともに改めての周知徹底のためのものだ。一般紙がことさら取り上げることでもない。一般ユーザーはとくに作業は必要ないので、業界紙（誌）以外はニュース価値はないと考えるのが妥当だろう。

本当の影響を理解するためDNSのおさらい

　DNSのルートゾーン署名鍵（KSK）の更新（ロールオーバー）にどんなリスクがあり、どんな混乱が予想されるのだろうか。その説明の前にDNSのロールオーバーについて簡単におさらいしておく。

　インターネットで宛先（通信先）を特定するのはIPアドレスである。この数字情報を人間が扱いやすいドメイン名で管理できるようにしているのがDNSだ。いまさら説明するまでもないが、DNSは世界中のドメイン名とIPアドレスを紐づける巨大な分散データベースである。よく「電話帳」にたとえられるが、いまのDNSが普及するまえのNISは「yellowpage（電話帳）」という名称で呼ばれていた時期もあった。

　膨大なIPアドレスとドメイン名を一元管理するようなシステムは現実的ではないため、DNSにおいて名前管理を行うネームサーバは、ドメイン名の階層に対応する形（ゾーン＝地域や組織・企業）で設置され、それぞれ自分のゾーンに属するホストのIPアドレス情報とドメイン名を管理している。自分の知らないドメイン名は、上位ゾーンのネームサーバに問い合わせ（このドメインを管理しているDNSはどれか？）を行い、この繰り返しによって最終的にドメイン名をIPアドレスに変換する。そして得られたIPアドレス情報は、一般的にキャッシュDNSサーバに一定期間保存され、以降の問い合わせに利用する。

　ゾーンの一番の大元（ドメイン名ではトップレベルドメインに相当するゾーン）をルートゾーンというが、世界中のドメイン名を統括しているICANNは、2015年ごろからルートゾーンサーバの署名に使っている鍵を更新することを検討していた。DNSにおいて間違った応答や不正なネームサーバのため、サーバの応答に電子署名を付加しているが、セキュリティ維持のため鍵の更新（ロールオバー）を定期的に実行する必要がある。署名鍵は公開鍵暗号方式を採用しているので、公開鍵の解析が進むのを阻止するためだ。

　2016年にロールオーバーの方法やスケジュールが決まり、2017年7月から2018年8月にかけて実施されることが決まった。

【次ページ】以前から予定・告知されていたKSKロールオーバー、現実に想定されるリスクとは？