委員会資料
第57回JPドメイン名諮問委員会議事録
株式会社日本レジストリサービス 第57回JPドメイン名諮問委員会 議事録
1. 日 時: 2016年10月20日(木) 14:00 ~ 15:35
2. 場 所: 株式会社日本レジストリサービス 東京本社 大会議室 東京都千代田区西神田3-8-1 千代田ファーストビル東館13F
3. 出 席 者: 後藤滋樹 委員長 大井貴 副委員長 金子宏直 委員 武山芳夫 委員 丸橋透 委員 三田一博 委員 唯根妙子 委員
4. 同 席 者: 堀田博文 (JPRS 取締役) 宇井隆晴 (JPRS 事務局) 常山敬秀 (JPRS 事務局) 江原誠 (JPRS 事務局)
5. 次 第:
1. 開会 2. 議題 (1) 答申「不正行為に使われているJPドメイン名へのレジストリとしての 対応について」(JPRS-ADVRPT-2015001)への対応について (2) 諮問「第9期JPドメイン名諮問委員会委員の選任方法について」 (JPRS-ADV-2016001)について (3) サーバー証明書について (4) その他 3. 閉会
6. 資 料:
資料1 第8期JPドメイン名諮問委員会委員一覧 資料2 JPドメイン名諮問委員会の答申JPRS-ADVRPT-2015001への対応 資料3 諮問書「第9期JPドメイン名諮問委員会委員の選任方法につい て」(JPRS-ADV-2016001) 資料4 サーバー証明書について 資料5 初等中等教育機関などの名称(「○○小学校.jp」や「○○高 校.東京.jp」など)の登録について
参考資料1 JPドメイン名諮問委員会規則 参考資料2 諮問書「不正行為に使われているJPドメイン名へのレジストリ としての対応について」(JPRS-ADV-2015001) 参考資料3 答申書「不正行為に使われているJPドメイン名へのレジストリ としての対応について」(JPRS-ADVRPT-2015001)
7.議 事:(◎は委員長、○は委員、●はJPRS取締役及び事務局の発言) ------------------------------------------------------------------------ <開 会>
《出席状況の報告》
●本日の委員会には、後藤滋樹委員長、大井貴副委員長、金子宏直委員、 武山芳夫委員、丸橋透委員、三田一博委員、唯根妙子委員、以上7名の出席をい ただいている。 従って、JPドメイン名諮問委員会規則第13条に規定されている、開催に必要な 定足数の「全委員の過半数」を満たしていることを報告する。
本日、JPRSからは、堀田博文、宇井隆晴、常山敬秀、江原誠が同席する。
<議題(1) 答申「不正行為に使われているJPドメイン名へのレジストリとしての 対応について」(JPRS-ADVRPT-2015001)への対応について>
◎不正行為に使われているJPドメイン名へのレジストリとしての対応について議 論いただき、2016年6月20日に答申書として確定した。その後の検討・対応など について、JPRSより報告いただきたい。
[取締役堀田博文より資料について説明] - 資料2 JPドメイン名諮問委員会の答申JPRS-ADVRPT-2015001への対応
<議題(2) 諮問「第9期JPドメイン名諮問委員会委員の選任方法について」 (JPRS-ADV-2016001)について>
◎諮問書の内容について、JPRSより説明いただきたい。
[取締役堀田博文より資料について説明] - 資料3 諮問書「第9期JPドメイン名諮問委員会委員の選任方法について」 (JPRS-ADV-2016001)
◎委員選任方法について、現状の7名の枠組みで推薦するという方針で問題ない のであれば、私と事務局にて答申書(案)を作成し、各委員に確認いただく形と したい。本件の答申書(案)確認のためだけに委員会を開催する必要はないと思 うので、各委員にはメールにて答申書(案)を確認いただくという方法としたい がよいか。
○異議なし
◎答申書の確定後、具体的な次期委員の推薦については事務局より各委員に改め てご相談をさせていただく。
<議題(3) サーバー証明書について>
◎前回の委員会にてJPRSより共有いただいた「JPドメイン名の概況とドメイン名 を取り巻く状況について」の中で「JPRSサーバー証明書発行サービス」について 説明があった。今回は、より具体的な証明書の概要や役割・JPRSのサービスに関 してJPRSより説明いただきたい。
[JPRSより資料について説明] - 資料4 サーバー証明書について
○認証局自体がいい加減な組織だということはありうるのだろうか。そうだとす れば、そこで不正な証明書が発行されてしまう。それを防止する手立てはどのよ うに行われているのか。
●認証局自体が意識的にずさんな運営をしているとは考えたくないところだが、 過去の事例からは、悪意ある第三者が認証局を騙して手順を不正に進め、認証局 に不正な証明書を発行させるケースがあった。そもそも認証局の手続き自体に問 題があったのではないか、といった話題も過去にあったかと思う。きちんとした 確認プロセスが行われているかが根本の問題なのだが、その問題に業界が取り組 んだ結果のうちの一つがEV証明書である。EV証明書では、どういう確認をどうい う資料に基づいてどういう手順でやらなければいけないのかということが事細か に定められており、業界で標準化された状態になっている。厳格な手順の元に発 行されたEV証明書はWebブラウザー上でも安全性をユーザーに強くアピールする ことができる。しかしその反面、発行に手間がかかり、それが料金にも跳ね返り、 非常に高い商品になっている。Webサイトの運用者が認証の機能ではなく、暗号 化や証明書が入っていればよい程度のモチベーションで使われるには少々高く感 じる証明書であり、現状では安い証明書へのニーズが高く、利用者全体がEV証明 書を利用するという流れは当面の間はないのではないかと思う。
○業界の標準とは国際標準なのか。それとも国内標準なのか。
●国際標準である。証明書の認証局とブラウザベンダーが双方係わった団体 (CA/Browser Forum)があり、そこで標準化されている。
●Webブラウザーが信用できる証明書を使っているかどうかが一番の鍵である。 ブラウザベンダーの業界団体で信用できないと判断し、Webブラウザーが信用し ないと認定されてしまった証明書等では、そのWebブラウザーでみてWebブラウ ザーのアドレスバーが緑色にならなかったりする。
◎不正な証明書の作成に関する問題は昔からある。自分で自分を証明するオレオ レ証明書などもあったが、最近のWebブラウザーではそういった証明書はブラウ ザーで警告表示が出たりといった対処がされている。
○サイトシールに表示する情報や存在確認のために使っている情報について、 JIPDECが提供する法人台帳ROBINSと連携して確認プロセスを効率化する方法や、 法人番号などを利用するなどの方法があると思うが、そのあたりを利用する考え はあるのか。
●今のところはJPRSが持つドメイン名の情報や証明書発行用に得た情報で対応し ているが、JIPDECが提供する法人台帳ROBINSについても話題には出ており、良い データベースであると考えている。証明書だけでなくドメイン名に関する部分に 関しても、そういった色々なデータベースと連携することによりお互いの信頼性 を高めていくこともできるのではないかと思うので、今後検討していきたい。 法人番号については今のところ活用していない。登記情報に関しては登録申請時 等で活用している。法人番号を活用できれば、もう少し機械的に対応できるとこ ろも多くなってくるかと思うが、そうなるとこれまで積み重ねたデータベースの 情報との整合性をどうとるか、手順として何をどこで確認するかという責任分解 といった部分もでてくるが、そのあたりも踏まえて検討したいと思う。法人番号 の利用は今後社会全体に広がっていく動きになってくると思われる。現状すぐに 対応するという段階ではないが、今後の登録作業の効率化・正確性の向上という 点での検討事項であると認識している。
◎マイナンバーをはじめ、今後様々な情報にコードが付されるだろう。文字コー ドの問題などにも繋がるかと思うが、段々と世の中が進展していく中でインター ネットだけでなく全体としての動きが展開していくのではないかと思う。
○通信の暗号化としてSSLを利用するとの話があったが、方式はSSLだけなのか。 それとも他の方式もあるが主流がSSLなのか。
●サーバー証明書自体がもともとはSSLというプロトコルを前提としていたが、 現在はプロトコルのバージョンが上がり、TLSというものが利用されている。サー バー証明書の中に、暗号化に使うための公開鍵情報が入っており、それを利用す ることによりHTTPSでの通信になるという仕組みになる。一般的に使われるプロ トコルはこのTLSである。
○何年か前にSSLのセキュリティに穴があると問題になったことがあるが、今は その問題は改善されているのか。
●セキュリティに穴があると言われたのはSSLであり、その当時新しいバージョ ンのプロトコルとしてTLSが使われ始めていた。TLSに関しては当時のセキュリ ティホールはない。今はどの通信もほぼTLSになっていると思う。
◎この件については、webサーバーとクライアントとのやり取りだが、たとえば 電子メールの暗号化は多種多様なやり方があり、暗号化の区間についても違いが ある。また、ネットワークの運用者からみれば暗号化されている通信ではトラ フィックの測定がしにくい、悪意者の通信自体も暗号化されてしまうといった デメリットもある。マシンの発展とともに処理速度もあがってきているため、 より強固なものにはなってきている。
○資料4の4ページにサーバー証明書の3つの役割が記載されているが、「改ざん の防止」とはどういう背景で防止が保障されているのか。暗号化とセットで考え ればよいのか。
●概念としては分けているが、技術としては、暗号化と改ざんの防止は一体化し て捉えている。
◎改ざんの防止とはどこを対象として防止しているのか。
○ユーザーとwebサーバーの間の通信に関しては暗号化されているだろうが、実 際はサーバーそのものが改ざんされている例がある。
●資料の表現が誤解を招くものだったかもしれない。より正しく書けば「通信路 における改ざんの防止」である。根本であるサーバー自体に侵入されてしまうと 何でもされてしまう。不正な証明書を発行させられてしまった原因として認証局 のサーバーに侵入されてしまったという事例がある。これをされてしまうともう 対処のしようがなくなってしまうため、証明書に限らず、サービスを提供する会 社としては不正侵入からサーバーを厳重に守る必要がある。
<議題(4) その他>
◎本日、事務局で準備した議題は以上だが、JPRSより1点、情報提供があるとの ことである。JPRSより説明いただきたい。
[JPRSより資料について説明] - 資料5 初等中等教育機関などの名称(「○○小学校.jp」や「○○高校.東京 .jp」など)の登録について
◎1990年代中頃までは大学等の高等教育機関でAC.JPが利用されていたが、小中 学校もドメイン名を利用したいという声が高まりED.JPが新設された。その際に 同名の学校を調べると、結構存在していたため、重複しないようにドメイン名を 用意した。しかし、結局はあまり使われなかった。少し慎重にやり過ぎたと思う。 一方で、周知は必要であり、今回の初等中等教育機関などの名称登録について、 教育関係のコミュニティなどの力も借りて、十分に周知を図っていくのが良いと 思う。周知期間が1年というのは長いと思うが、それだけの意味があると思う。
○例えば、○○.小学校.JP、○○.中学校.JPなど、セカンドラベルの部分で区分 けするということは考えられなかったのか。
●日本語ドメイン名で階層を増やすことのニーズがどの程度あるのかという観点 もあるが、利便性の面で、文字列を繋げるのが自然な表現であるものを小学校、 中学校の部分にピリオドの区切りを入れること自体が受け入れてもらいにくいの ではないかと思う。例えば都道府県型JPドメイン名の場合は、○○.東京.jpとい うように区切りがあるが、「東京」の部分は区切られて認識してもらうべき部分 である。そういった違いがでてくるのだと思う。
○地域に根ざしている公立の学校は利便性とは逆に「○○県○○市立○○小学校 .jp」といった正式な表記の文字列を希望するのではないか。反面、全国的に展 開している学校法人については文字列から地域名を抜きたがるだろう。そう考え ると、競合する事態はあまり考えられないのではないか。問題なのは、幼稚園や 保育園で、そもそも違う教育機関カテゴリであるのに「○○園」などの表記で混 同する可能性がある。また、すでにドメイン名を取得して学校法人としてのweb ページを提供している場合、それと今回の学校名の登録との関係をどうするかが 問題になる。似たような学校法人の名前がいくつもあるため、混乱が生じそうで はある。たとえば、学校法人としての登録がある場合は、今回の学校名のドメイ ン名登録の優先順位を下げる、といったポリシーを導入するといったようなこと はなかったのか。入試出願などもwebページで行えるようになってきた昨今で、 混同による出願間違いなど起きればユーザーに非常に大きな不利益が発生してし まう。そういった点を考えれば、全国展開している学校法人については学校法人 としてのドメイン名を登録済みの場合は今回解放された文字列での登録はご遠慮 ください、というような方式をとってもよい気がする。
●多くの教育機関のwebページを参考に確認してきたが、本当に様々な形での運 営がされている印象であった。優先順位をつけたルールをJPRSで設定をするのが いいのか、もしくは今後教育機関でどのように運用していくかを学校側で考える 一つの契機にしていただくのがいいのかといった視点があると思う。そういった 点を含めて情報提供・周知、ご意見を伺う、といったことを進めていけるとよい かと思う。
◎周知もあるが、ご意見を伺うという気持ちが大事であると思う。
●ご意見のとおり、実際の利用者の声も聞いていけたらと思う。
◎地域によって、教育委員会でもなく、個別の学校でもなく、教育センターとい うくくりであったりと、かなり異なるので、そのようなところに詳しい方にアド バイスをいただいて、ご意見をいただく方がよいのではないかと思う。
○混乱を避けるためには一意にするのが重要なポイントかと思う。一意にしよう とすると文字列が長くなってしまうといった点との兼ね合いとして、ガイドライ ンを設けて望ましいネーミング例を挙げるなどするといいかもしれない。例えば、 「横浜市立東小学校」という学校があるなら、横浜市の中に幾つも東小学校があ るというのはおそらく考えられないため、市立という文字列を入れるのが望まし い、などのガイドラインがあればより簡潔で一意に繋がるのではないかと思う。
●各教育機関へのご案内の仕方に係わってくるところであるが、例えば、正式名 称、加えて、略称の文字列のドメイン名のご希望を出していただいて、両方とも 登録できるという状態になるのであれば、両方登録していただいてもいいし、ど ちらかを選んでいただいてもいいし、略称の方で重複になって、例えば協議もし くは抽選になって、結果がご希望に沿わない場合でも、正式名称の方は登録して ご利用いただける、というように、どのようにするのが良いのかということをき ちんとご案内していくというのが大事かと思う。
◎JPRSが案内するよりも、そのコミュニティの方々に協力してもらい、方法を提 案してもらうのが一番収まりとしては良い気がする。後から問題が起きるより先 に色々と相談したほうが良いだろう。
《その他情報共有》
◎議題は以上だが、他に何かあるか。
●最後に情報提供とご紹介をさせていただきたい。本年10月頭に米国政府がイン ターネットの監督権限を手放したといったような趣旨のニュースが出ていたかと 思う。9月末には大統領選挙の中でこの点に対する賛否が対立するなどで話題に 上ったが、これはネットの情報だけでは内容と経緯がわかりにくいかと思うので、 よければ次回の委員会で詳細を説明させていただければと思う。概要だけ簡単に 説明すると、インターネット資源の割り当て等を行う「IANA」という機能をこれ までICANNが運用していた。この運用に関しては、歴史的経緯により米国政府が ICANNにIANA機能に関して業務を委託するという形で行われていた。つまり、IANA 機能の監督権限は委託元の米国政府にあった。この点に関して、全世界で利用す るインターネットの元締めが米国政府だけになっていることを問題視する動きが 起こった。この背景に基づき、ICANNに参加しているコミュニティが中心となっ て新しい仕組みのあり方を検討してきた。その検討結果を受け入れた米国政府が グローバルなコミュニティに監督権限を移すことになった。これが今回の経緯で ある。
●IANA機能の監督権限移管となり、米国政府という重しが外れたICANNはますま す重要性を増してくる。そのICANNの理事に、本年11月よりJPNICの前村氏が就任 される。本日、前村氏が傍聴席にいらっしゃるので、この機会に一言いただけれ ばと思う。
[傍聴席のJPNIC前村氏よりICANN理事就任に関してご挨拶]
◎IANA機能の監督権限移管に関しての詳細情報はまた継続して共有してもらいた い。
《今後の予定について》
◎第57回JPドメイン名諮問委員会の議事は終了とする。次回の委員会について は、来年2月頃を目処に開催することになるかと思う。委員会の具体的な日程に ついては、また後日、事務局より調整させていただく。
<閉会>
