DNSサーバーの性能とセキュリティを両立させる

ポール・モッカペトリス
米ノミナム
会長兼チーフ・サイエンティスト

加藤慶信

2004.01.21

　ポール・モッカペトリス氏は，DNS（domain name system）を考案した人物。同氏は1983年，IETF（Internet Engineering Task Force）で最初の標準仕様「RFC1034」をまとめ上げた。それから20年以上が経過し，インターネットは個人ユーザーにも身近な社会インフラに発展してきた。その過程で，DNSに求められるニーズも多様化している。米ノミナムは，多様化したニーズに応えたDNSサーバー用ソフトや関連製品を開発・販売する。日本国内ではSSEが代理店となって同社製品を取り扱っている。同氏に，現在のDNSの課題などを聞いた。
（聞き手は加藤　慶信＝日経コミュニケーション）

――ちょうど一年前，韓国でウイルス「スラマー」がDNSサーバーのダウンを引き起こした。いまのDNSの仕組みそのものが破たんしていることはないのか。

　正確には，スラマーが直接DNSサーバーをダウンさせたわけではない。スラマーが大量のトラフィックを発生させた結果，端末とDNSサーバーあるいはDNSサーバー同士が通信不能に陥ったと言うことだ。人間が理解できる文字列とネットワーク機器が理解できるIPアドレスと言う数字の羅列を変換するDNSの仕組みそのものが，破たんしているわけではない。
　とは言え，このことは現在のDNSが持つ二つの課題を浮き彫りにした。一つは，DNSのパフォーマンスを高める必要があること。世界中のマスコミが韓国で起こった事件を大々的に取り上げたことからも分かる通り，インターネットは社会インフラとして重要性が増している。このことは，DNSが大量のトラフィックを処理する状況が生まれていることを示している。もう一つはセキュリティ対策が必要だと言うこと。スラマーを作った人物が存在するように，インターネットと言う社会インフラをまひさせて楽しむ一握りのユーザーがいるからだ。

――DNSの重要性がさらに増していると。

　DNSは，社会インフラを支える縁の下の力持ちなんだ。その存在を普段は誰も意識していないけれど，DNSサーバーがダウンすればインターネットは利用できない。水の出ない水道，電気の通らない電灯線と同じ状態になってしまう。
　米ノミナムは，そこに注目して設立された。つまり，縁の下の力持ちであり続けられるDNSを開発するためだ。現在，DNSサーバーやDHCP（dynamic host configuration protocol）サーバー，これらの管理ツール，DNS用のファイアウォールを開発・販売している。

――しかし，DNSにはオープン・ソースの「BIND」（Berkeley internet name domain）が流通している。プロバイダなどの事業者は商用ベースのDNSを選ぶだろうか。

　実は，ノミナムにはBINDの開発に関わった中核の技術者が集まっている。創立者のデビッド・コンラドCTO（Chief Technology Officer）は，BINDの開発を支援する団体ISC（Internet Software Consortium）の中心人物だった。
　縁の下の力持ちであるDNSを支えつづけるには，きちんとしたサポートが不可欠だ。ところがオープン・ソースのままでは，サポートに応じてくれるベンダーも技術者も存在しない。コンラドはノミナムを設立して新しいDNSを製品として提供することで，きちんとサポートできる体制を整えた。
　分かりやすく言えば，同じオープン・ソースのLinuxを考えて欲しい。Linuxを製品として提供するベンダーがサポート体制を整えている。製品版のLinuxを購入した事業者や企業の管理者は，トラブルが発生すればベンダーの技術者に相談できる。

――新しいDNSと言うことは，BINDとノミナムのDNSは別物なのか。

　その通りだ。BINDの最新版はバージョン9。旧版のバージョン8には，短時間に大量のアクセスを受け付けるとサーバーが異常動作を起こす「バッファ・オーバーフロー」の弱点があった。デビッドはこの弱点を解決するためにバージョン9の開発を指揮したのだが，一方でパフォーマンスが大きく低下してしまった。
　原因は，BINDの仕様が古かったことにある。BINDは90年代初めに開発された。ところが，インターネットはここ10年で急速に立ち上がった。もはやBINDでは，パフォーマンスとセキュリティという二つの課題を同時に解決できないほど，インターネットの用途が広がってしまったのだ。対応するには，まったく新しいDNSを一から作り直す必要があった。
　例えば，BINDは対応付けのテーブルをテキスト・ベースでメモリ上に読み込むため，読み込むテーブルが多いほど起動に時間がかかる。ノミナムのDNSは，テーブルをデータベースで管理しているため，わずか1秒で起動できる。対応付けテーブルの更新時も，キャッシュ機能を活用して高速化している。特に管理すべきドメインが多い大規模プロバイダにとっては，効果の大きい仕様変更だ。

――DNSサーバーを製品として提供するベンダーは多いと思うが。

　大手では，米シスコ・システムズや米ルーセント・テクノロジーが製品を出荷している。しかし，これら製品が搭載しているソフトはBINDだ。しかも，セキュリティの問題が解決されていないバージョン8を搭載している。バージョン9を搭載すれば，サーバーとしてのパフォーマンスが低下してしまうからだ。
　米国では連邦捜査局（FBI）が，インターネットで不正攻撃を仕掛ける可能性が高いあるグループを監視している。そのグループは，米マイクロソフトのWindowsサーバーへの攻撃を担当する10人と，Linuxサーバーへの攻撃を担当する10人の計20人で構成している。このうちLinuxサーバーを担当する10人は全員，BINDバージョン8への不正攻撃を担当していると言う。バッファ・オーバーフローの問題を解決しているBINDバージョン9は，不正攻撃の対象になっていないというわけだ。
　このためFBIも，バージョン9に置き換えるように警告している。

――BINDは現在の最新版バージョン9で終わりなのか。

　そうだ。BINDは，現在もISCが開発を支援している。しかし，中核の技術者のほとんどがノミナムに移ったため，もうBINDを開発できる技術者が残っていない。近い将来，バージョン10が出てくるとは考えにくい。

――中国のインターネット人口はもうじき日本を上回る。トラフィックの負荷分散を考えた場合，全世界に13台あるルートDNSを中国にも設置する必要はないのか。

　正確には，13台ではなく13個と言うべきかもしれない。確かに，オリジナルのルートDNSは13台だけだったかもしれない。しかし，ルートDNSそのものがミラーリングされ，全世界に分散している。だから，もはや「13」という数字に意味はないんだ。実際，中国にもルートDNSは設置されている。