多くの企業で使用されるドメインネームシステム(DNS)サーバーは、固有のセキュリティを備えていないために繰り返し侵害され、キャッシュポイズニング、通話のリダイレクト、中間者攻撃によるパスワード盗用、メールの再ルーティング、サービス拒否攻撃などの悪意のある攻撃を受けています。
ドメインネームシステムセキュリティ拡張(DNSSEC)は、DNSレコードにデジタル署名することでDNSサーバーの階層を保護し、受信したメッセージと送信されたメッセージが同一のものであることを保証します。
DNSSECは実質的に公開鍵基盤(PKI)を実装することで、DNSサーバー間の安全な通信方法を確立します。PKIとして機能するDNSSECは、鍵の生成、署名、鍵管理などの新しいプロセスを要求します。しかし、DNSSECが導入するリソースレコードは暗号化されていないファイルに保持されるため、DNSSECがもたらすメリットを必ずしも得られるとは限りません。
DNSSECのインフラストラクチャ全体が完全かつ包括的に保護されている場合にのみ、組織はDNSSECがもたらす利点を活用することができます。これを実現するには、以下を実行する機能が必要となります。
DNSSECはDNSサービスの有効性を保証するために、公開鍵暗号を使用してDNSメッセージにデジタルで署名します。必要なセキュリティを実現するには、秘密署名鍵をしっかりと保護することが不可欠です。秘密署名鍵とそれに付随するデジタル証明書が危険に晒されると、DNS階層の信頼チェーンが壊れ、システム全体が陳腐化します。これを防止するために、ハードウェアセキュリティモジュール(HSM)が重要な役割を果たします。
HSMは目的に特化したシステムで、デジタル署名の要となる暗号鍵と暗号処理を物理的かつ論理的に保護します。HSMは次の機能をサポートします。
HSMは、強化された集中管理型デバイスに暗号鍵を格納することにより、暗号鍵を安全性の低い異なるプラットフォームに格納することで生じるリスクを排除することができます。さらに、この集中型管理により、セキュリティ管理が大幅に合理化されます。
An Anchor of Trust in a Digital World Business and governmental entities recognize their growing exposure to, and the potential ramifications of, information incidents, such as: Failed regulatory audits Fines Litigation Breach notification costs Market set-backs Brand...