DNSSEC:今日の課題

ドメイン名システム(DNS)は事実上インターネットのアドレスブックであり、ウェブサイト名をその登録済みのIPアドレスに一致させることを可能にします。しかし、ウェブクエリに不正な変更を加えることで、エンドユーザやサービスに不正なIPアドレスを返答することで、データを盗み取るための非合法のサーバへ誘導することができます。この場合、ユーザは悪意ある電子メールやその他のメッセージによって欺かれるのではなく、自動的に偽サイトに誘導されるので、このような攻撃の被害にあったことが従来型のフィッシング攻撃よりも判りにくくなっています。こういった脅威は顧客と企業の両方に損害を及ぼすので、DNSのセキュリティが注目を集めるようになっています。DNSセキュリティ拡張機能(Domain Name System Security Extensions:DNSSEC)は、この脅威に対抗するために作り出されたものです。DNSSECは、デジタル署名を使用して、クエリに対するDNS応答の正当性の認証と検証をサーバが行えるようにするメカニズムです。

詳しくはこちら

他のクレデンシャルの作成や署名のプロセスと同じように、DNSSSECは、それを使用するすべての人・組織が、セキュアでシャアされた情報を信頼出来るように、相互信頼による“トラスト・チェーン”として動作します。DNSSECの場合、このトラスト・アンカーは各地域またはコミュニティの最上層ドメイン(たとえば.com、.gov、.co.ukなど)に位置しており、厳密な安全が確保されています。インターネットサービスプロバイダや内部DNSサービスを提供する企業はトラスト・チェーン内のリンクとしての役割を果たしており、それぞれのDNSSEC機能を導入する際には、各自が適切なレベルのセキュリティ評価を行わなければなりません。突き詰めれば、どの組織も、自分たちが攻撃者によるシステム侵入を成功させるようなチェーンの最上位ポイントとなることを望んではいません。

セクションを隠す

リスク

  • DNSプロセスへの侵入に成功した攻撃者は、利用者を偽サイトに誘導し、その利用者を欺いて個人情報を盗み出すことができます。
  • ソフトウェアでDNSSECを実装することも可能ですが、この場合、攻撃者が署名鍵に不正にアクセスすることが出来、DNSクエリプロセスが危険にさらされることになります。

DNSSEC:Thales e-Securityソリューション

Thales e-Securityの製品とサービスは、ビジネスと顧客の情報を保護する高い保証性を備えたDNSSECプロセスの導入を支援すると同時に、ビジネスに必要な性能を提供することができます。nShieldハードウェアセキュリティモジュール(HSM)は、トップレベルドメイン(TLD)、レジストラ、レジストリ、および企業が、インターネット上でのDNSSEC応答の妥当性確認に使われる極めて重要な署名プロセスのセキュリティを確保することを可能にし、一般的に「キャッシュポイズニング」攻撃および「中間者」攻撃と呼ばれる攻撃からDNSを保護します。HSMは監査可能な実績あるセキュリティ上の利点を提供し、署名鍵が正しく作成されて保管されることでDNSSECの妥当性確認プロセスの完全性を確実なものとします。

利点:
  • 第三者機関の証明を受けたHSM (FIPS 140-2レベル3およびコモンクライテリアEAL4+)によって、DNSSEC妥当性確認プロセスの完全性を保証します。
  • 耐タンパの堅固なハードウェア境界と実績ある監査可能なメカニズムを維持し、アーカイブ状態にあるものを含め、重要な署名鍵を保護します。
  • 単一の「スーパーユーザ」に関する脅威を軽減する強固なアクセス制御を通じて権限の分離を実現し、法令順守を促進します。
  • 無制限の鍵保存、セキュアなバックアップとリカバリ、および強力な暗号処理アクセラレータによって、高可用性とDNSサーバ性能の向上を実現します。