DNS管理にはアプライアンスが最適

2002/4/20
April 11, 2002, 3:26 p.m. ET InternetWeek, By Richard Karpinski

 Webサイトを運営している方ならDNSを管理していることだろう。DNS管理はどこもが抱える悩みの種で、CERT Coordination Centerによると昨年発生したセキュリティ関連事件の報告が最も多かった部分だという。

 組合員に米マイクロソフト、米ナイキ、米アマゾン・ドット・コムなどの大企業が名を連ねる信用組合のFirst Tech Credit Unionにとって、セキュリティは以前から最優先事項だった。そして、第一級の(加えてセキュリティの高い)サイト運営もしかりである。

 DNS管理はセキュリティ関連の業務分野の中でも「派手な」仕事ではない。しかし、その重要性は極めて高い。DNSはインターネット基盤の1つであり、インターネットに対応したデバイスが別のデバイスを探し出して情報を交換できるようにしてくれるものだ。これは同時に骨の折れる仕事でもあり、脆弱性への対策をできるだけ早急に講じるべく、サーバのOSおよびDNSサーバの両方のパッチやアップデートを頻繁にチェックする必要がある。

 First Creditは以前、「META IP DNS」(現在、米チェック・ポイントが取り扱っている)をWindows NTサーバ上で運用していた。First Techの情報セキュリティディレクター Clint Kaiser氏によると、「いまとなっては良い思い出」だが、同社がオンラインバンキングサービスを拡大するにつれて、DNSの管理に時間をとられるようになったという。

 「Windows NTに関しては、安全性に欠けていることを“思い知らされる”ような事件は特に起こらなかった。だが、部屋に閉じこもってマシンをいじりまわし、1カ月に1回というかなり頻繁な間隔でパッチを当てていた。どのOSでも同じような不安はあっただろうが、Windowsには少なくとも他製品に負けないレベルの脆弱性があった」(Kaiser氏)

 Kaiser氏のITグループではそれまで、米F5ネットワークスなどのベンダから提供されているロードバランサなど、いわゆるインターネットアプライアンスに関しては幸運に恵まれてきた。そして、いくつかの選択肢を検討したKaiser氏は、米InfoBloxの「DNS One」の採用を決断した。数ある理由の中で、その判断要因となったのは、同アプライアンスが単独でDNS管理を行う点だった。その当時のKaiser氏にとって必要なことはそれだけだったのだ。

 一定の試用期間を経て新しいDNSボックスをインストールしたKaiser氏は、DNS管理には「アプライアンス」モデルが最適であることが分かった。

 「大きなメリットが2つある。搭載されるOSが強化されて基本機能だけに絞られているため、どのサービスが有効になっているのか気にする必要がない。フォーカスを絞った専用マシンであるため、動作するソフトウェアが少ない。つまり、脆弱性が発生する機会も少ない」とKaiser氏は述べる。

 さらに同氏は、アップデートの管理についても、「大幅に楽になった」という。「公開されるパッチはベンダがあらかじめテストしているので、自分たちでテストする必要はない。これで時間とコストが削減できる」と語っている。

 Kaiser氏はこのDNSプラットフォームにおよそ1万ドルを投資し、その後アップグレードでマシンを2台にまで増やした。これらのハードウェアは導入から10カ月ほどが経過しているが、その見返りはメンテナンスの要求が減少するという形で主にソフト面に表れている。サーバのメンテナンスログの数字を合算して考えると、投資はエンジニアが費やす時間の削減という形で1年以内に回収できる、とFirst Creditでは予想している。

 特にDNSサーバでアプライアンスへの移行を検討しているほかの企業に対してKaiser氏は、ソフトウェアやホストOSのアップグレードなど、既存のDNSコンフィギュレーションをメンテナンスする頻度を判断するよう提案している。「それらを慎重に検討してコスト換算し、その数字を基に投資利益率(ROI)の分析を行うとよいだろう」(Kaiser氏)

 なお、First Creditではコスト削減額によって経費が正当化され、脆弱性の削減という魅力的なおまけも付いてきたそうだ。

[英文記事]
First Tech's DNS Do-Over

[関連記事]
ドメイン登録は成熟期へ――.jpを世界に誇るブランドに(@ITNews)
集中連載:DNSの仕組みと運用(2) インターネットを支えるDNS(Master of IP Network)

Copyright(c) 2001 CMP Media LLC. All rights reserved

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)