いよいよ明日10月11日深夜に実施、「ルートゾーンKSKロールオーバー」は過度に恐れる必要は無い!?（普段からきちんと管理されているネットワークであれば）

「ルートゾーンKSKロールオーバー」とは、DNS（Domain Name System）のセキュリティ拡張機能である「DNSSEC（DNS Security Extensions）」の運用に関する作業の1つで、文字通り、ルートゾーンで使っているDNSSECの鍵署名鍵（KSK）を新しいものに更新する（ロールオーバーする）ことである。DNSSECでは安全性を高く保つために鍵の更新が必要であり、今回がルートゾーンにおけるDNSSEC運用開始後、初めての作業となる。

DNSSECでは、電子署名の技術を用いた信頼の連鎖を、親子間で構築している。図1のように各ゾーンにおいて鍵署名鍵（KSK）とゾーン署名鍵（ZSK）と呼ばれる2種類の鍵が使われており、KSKに対応するDSリソースレコードを親ゾーンに登録することで、親子間の信頼の連鎖が構築される。

ルートゾーン以外のKSKを更新する場合、それに対応する親ゾーンのDSリソースレコードを更新する必要がある。これらは、それぞれのゾーンの権威DNSサーバーの管理者が作業すればよい。

しかし、ルートゾーンはDNSの階層構造の頂点に位置しており、親ゾーンは存在しない。そのため、ルートゾーンのKSKを更新する場合、それに対応する「トラストアンカー」をフルリゾルバー（キャッシュDNSサーバー）側で更新する必要がある。トラストアンカーはDNSSECにおける信頼の起点であり、DNSSEC検証が有効になっているすべてのフルリゾルバーに設定しなければいけないものだ。

つまり、ルートゾーンKSKロールオーバーにおいて作業が必要になるのは、ルートゾーンを管理するICANNと、世界中に存在するDNSSEC検証が有効になっているフルリゾルバーの管理者ということになる。

DNSSEC検証が有効になっているフルリゾルバーは、世界中にどの程度存在するのだろうか。読者の皆さんは「あまり多くないのでは」と思われるかもしれない。しかし、米国最大のISPであるComcastやGoogle Public DNSをはじめとする主要なパブリックDNSサービスなどがDNSSEC検証を有効にしており、ICANNではこれらの利用者が世界中に7億5000万人いると見積もっている[*1]。　これらの利用者が、ルートゾーンKSKロールオーバーの影響を受ける可能性がある。

[*1]……ICANN Launches Testing Platform for the KSK Rollover