開発進む次期 DNS サーバー『BIND 10』

広く使われているオープンソースの DNS (ドメインネーム システム) サーバー『BIND』は、現行版『BIND 9』の開発が始まってから約10年が過ぎた。そして今、後継となる『BIND 10』の開発が本格化している。

BIND については、見直しを求める声が以前から出ていた。BIND はドメイン名と IP アドレスを結びつける DNS プロトコル用のサーバーで、企業や ISP やサービス プロバイダの多くが配備している製品だ。

BIND 10 はユーザビリティ、拡張性、セキュリティの改善に力点を置く。とりわけ、2008年に Dan Kaminsky 氏がインターネットを破綻に追い込みかねない DNS の脆弱性を見つけたことから、セキュリティに力を注ぐことは特に重要だ。

BIND の開発を主導する Internet Systems Consortium (ISC) の BIND 10 担当プログラムマネージャ Shane Kerr 氏は、次のように語った。「BIND 10 の目標の1つは、ユーザーがあまり苦労せずにカスタマイズと拡張を行なえるようにすることだ。設計上のあらゆる決定事項について、システム全体の詳細を知らなくても理解できるよう文書化する。API とコードそのものについても同様だ」

『DNS Security Extensions』(DNSSEC) は、現行 BIND 9 の重要な機能だが、広範に配備が進んでいるとは言えない。同技術はドメイン名にデジタル署名をつけ、その真正性を保証する仕組みで、Kaminsky 氏が発見した DNS の脆弱性に対する決定的な対策として広く支持を集めている。

しかし、主要 TLD のうち DNSSEC による署名がなされているのは「.org」ドメインだけだ。

そして、DNS 管理者にとって DNSSEC の実際的な管理を容易なものにすることは、BIND 10 の主要な目標の1つでもある。Kerr 氏によれば、ユーザビリティの改善でこの目的を達成するという。

「DNSSEC 用の機能には不足している面が多い。DNSSEC の完全自動化もその1つだ」と Kerr 氏は語る。

同氏は BIND 10 における DNSSEC の実装について、管理者用インターフェースで「このゾーンに署名」というボタンをクリックすれば済む程度に単純なものになるかもしれないと説明した。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール