ロールオーバーとは

• 確認Webサイト DNSSEC Key Size Test
  http://keysizetest.verisignlabs.com/
  
  テスト結果の一例。 チェックボックスの四つ目まで緑であればOK。 5番目の項目は、必ず失敗するようになっています。
• DNSを用いた受信可能なパケットサイズの確認
  OARC's DNS Reply Size Test Server
  https://www.dns-oarc.net/oarc/services/replysizetest
  $ dig +bufsize=4096 +short rs.dns-oarc.net txt
  
  digの実行例。 ロールオーバーとは reply size limitの値が1424より大きいことを確認します。

ユーザーとサーバーキーのロールオーバー

キーロールオーバーは、ユーザー ID ファイルとサーバー ID ファイルに格納される Notes ® のパブリックキーとプライベートキーのセットに対して、更新を行うために使用されるプロセスです。このキーのセットは、プライベートキーの未発見の脆弱性に対する予防措置、プライベートキーの既知の脆弱性からの救済、大規模なキーへのアップグレードによるセキュリティの強化のために、定期的に置き換える必要があります。

このタスクについて

• 既存のキーサイズ
• 既存のキーの発行日
• 既存のキーの経過時間

また、 Notes ® のユーザーは [ユーザーセキュリティ] ダイアログボックスの [新規パブリックキーの作成] ボタンを使用してキーロールオーバーを起動することができます。ユーザーが証明書要求方法として [認証プロトコル] を選択した場合、現在のキーは、ポリシー設定によってロールオーバーが起動された場合と同様に、ロールオーバーされます。ユーザーが [メールプロトコル] を選択した場合、 Domino ® R6 とそれより前のメール処理方法が使用されます。ユーザーがキーロールオーバーを起動する方法の詳細については、関連リンクを参照してください。

ポリシーが確立されているとき、またはユーザーが [ユーザーセキュリティ] ダイアログボックスによってキーロールオーバーを起動した場合、次にユーザーがホームサーバーで認証したときに、キーロールオーバー情報が ID ファイルに書き込まれます。トリガ条件が発生し、キーロールオーバーを許可するプロンプトをユーザーが受け入れると、キーロールオーバーが開始され、新しいキーがユーザー ID ファイル内に作成されて保留状態のマークが付けられます。新しいキーか保留中のキーが生成された後にユーザーがホームサーバーで認証を行うと、[新規キー要求の認証] がシステム管理要求データベース内に作成されます。

1. Domino ® Administrator で、システム管理要求データベースを開きます。
2. [新規キー要求の認証] ビューで、ユーザーの要求を選択し、 [選択エントリの認証] をクリックします。
3. [認証者の選択] ダイアログボックスで、次のいずれか 1 つを実行します。

• サーバーベースの認証機関を使用している場合は、ドロップダウンリストから 1 つを選択します。
• 認証者 ID を使用する場合は、認証者 ID の場所とパスワードを入力します。

タスクの結果

次にユーザーがホームサーバーで認証を行うと、新しいパブリックキーを受け入れるかどうかを尋ねるダイアログボックスが表示されます。新しい証明書を受け入れるには、ここで [OK] をクリックしなければなりません。ユーザー ID ファイル内の新しいキーまたは保留中のキーが有効になり、古いキーはアーカイブされます。

サーバーキーのロールオーバーを設定するには

1. サーバー文書で、 [管理] をクリックします。
2. 次のフィールドに必要な情報を設定します。

サーバー ID の最も弱いキーの許容サイズを指定します。これより強いキーはロールオーバーされます。

• 制限なし
• すべてのリリースで互換 (512)ロールオーバーとは
• すべてのリリースで互換 (630 ビット)
• Release 6 以降と互換 (1024 ビット)
• 7.0 以降と互換 (2048 ビット)

• すべてのリリースで互換 (630 ビット)
• 6.0 以降と互換 (1024 ビット) (デフォルト)
• 7.0 以降と互換 (2048 ビット)ロールオーバーとは

• 最小 (512 ビット)
• すべてのリリースで互換 (630 ビット)
• 6.0 以降と互換 (1024 ビット) (デフォルト)
• 7.0 以降と互換 (2048 ビット)

キーのロールオーバーが必要になるまでの最長経過期間を日数で指定します。デフォルトは 36500 日 (ロールオーバーとは 100 年) です。

ネットワーク認証中に古いキーを使用できる期間を指定します。 Notes ® のキー照合中に、すべての証明書 (古いものと新しいものの両方) とすべてのロールオーバーキーは 1 つのツリーに編成されます。このツリー内を移動して、チェーンに含めることができる証明書のセットを探し、キーを確認します。有効期限が過ぎた証明書は、このチェーンの中では使用できません。キーが改ざんされている可能性に対応するためにキーをロールオーバーする場合、そのキーに発行された古い証明書を使用できる期間を短い値に設定することを推奨します。この設定の有効な値は 1 日から 36500 日で、デフォルトは 365 日です。

NISAでロールオーバーを忘れたらどうする？しない方がいい場合は？

【ロールオーバーって何？】2021年末にNISA非課税期間が終了した時の手続き 「2017年に始めたNISA（ニーサ）が満期を迎えるみたいだけど、その後はどうなるの？」 「一般NISA（ニーサ）はロール.

ロールオーバーを忘れた場合の対応

ロールオーバーを忘れて課税口座に移管された金融商品の対応は、「課税口座で運用」または「売却」という2パターンから選択することになります。

課税口座で運用を続ける

課税口座で運用を続けた方が良いのは、金融商品の成績が好調な場合です。課税されても十分利益が見込める場合は継続して運用を続けるのが良いでしょう。

売却した方が良いのは、主に金融商品の成績が不調な場合です。

ロールオーバーをしない方が良い場合

NISAのロールオーバーに関する対応には、そもそもロールオーバーをしない方が良い場合も存在します。

新たなNISA枠で買いたい商品がある場合

しかし、ロールオーバーをすると、持ち越した金融商品の金額分だけ、新たなNISA枠を使用してしまいます。そのため、新たなNISA枠で枠いっぱいに商品選びをしたい場合は、ロールオーバーをしない方が良いでしょう。

積み立てNISAに切り替えたい場合

NISA（一般NISA）と積み立てNISAは同時運用ができません。そのため、一般NISAの非課税期間終了に伴って積み立てNISAにしたいと考えている場合は、ロールオーバーをしない方が良いでしょう。

なお、NISAと積み立てNISAの切り替えは随時可能ですが、年内に一度でも取引をしてしまうとその年は切り替えができなくなります。この場合、切り替えの申し込みができるようになるのは10月1日以降で、切り替えが実行されるのは翌年の1月1日となります。

商品の運用成績が悪い場合

ロールオーバーを忘れた場合の対応でも解説しましたが、金融商品の運用成績が悪い場合は、持ち続けること自体が損になる可能性があります。

新NISAへのロールオーバーはできる？

現在のNISAと新NISAの違いは主に枠内の区分です。
現在、年間120万円の非課税枠が122万円に増額され、積み立て20万円と一般102万円の2階建て構造に分割されます。

ロールオーバーは、プロのアドバイスもふまえて判断しよう

ロールオーバーは便利な制度ですが、「どんな場合でもロールオーバーが正解」というわけではありません。むしろロールオーバーをしない方が良いケースもありますし、ロールオーバーをすることで将来的な利益の損失に繋がることもあり得ます。

弊社 横浜のFPオフィス「あしたば」 は、創業当初からNISA・ジュニアNISAやiDeCo/イデコ・企業型確定供出年金（DC/401k）のサポートに力を入れています。

収入・資産状況や考え方など人それぞれの状況やニーズに応じた「具体的なNISAやiDeCoの活用法と 注意点 」から「バランスのとれたプランの立て方」まで、ファイナンシャルプランナーがしっかりとアドバイスいたしますので、ぜひお気軽にご相談ください。

ISM ポリシーのロールオーバーインデックスアクションが Amazon OpenSearch Service で失敗し続けるのはなぜですか?

失敗したインデックスを再試行すると、「Attempting to retry」(再試行中) ステータスメッセージが表示されることがあります。OpenSearch ロールオーバーとは Service が再試行を試みている場合は、次の ISM サイクルが実行されるまで待ちます。ISM サイクルは 30～48 分ごとに実行されます。ロールオーバーアクションが成功すると、「インデックスは正常にロールオーバーされました」というメッセージが表示されます。

ロールオーバーエイリアスがない

説明 API 出力で、ロールオーバー失敗の原因がロールオーバーエイリアスがないことであると特定された場合は、失敗したインデックスの設定を確認します。

index.opendistro.index_state_management.rollover_alias 設定が見つからない場合は、手動でインデックスに設定を追加します。

インデックス名がインデックスパターンと一致しない

この正規表現パターンは、インデックス名には、テキストの後にハイフン (-) と 1 つ以上の数字を含める必要があることを示しています。インデックス名がこのパターンに従っていない場合、最初のインデックスにデータが書き込まれている場合は、データを再インデックスすることを検討してください。データを再インデックスするときは、新しいインデックスに正しい名前を使用します。以下はその例です。

次の API 呼び出しを使用して、新しいインデックスに ISM ポリシーを手動でアタッチします。

注: ISM ポリシーとロールオーバーエイリアスは、同じインデックスパターンで作成された連続するインデックスを反映する必要があります。

ロールオーバーエイリアスが、インデックステンプレート内の重複したエイリアスを指している

説明 API で、ロールオーバーエイリアスが重複したエイリアスを指しているためにインデックスのロールオーバーが失敗したことが示された場合は、インデックステンプレートの設定をチェックします。

テンプレートに追加のエイリアスセクション (同じインデックスを指す別のエイリアス) が含まれているかどうかを確認します。

次に、失敗したインデックスで再試行 API ロールオーバーとは を実行します。

重要: エイリアスが複数のインデックスを指している場合は、1 つのインデックスだけ書き込みアクセスが有効であることを確認してください。ロールオーバー API は、ロールオーバーエイリアスがポイントするインデックスの書き込みアクセスを自動的に有効にします。これは、ISM でロールオーバーオペレーションを実行するときに、「is_write_index」設定のエイリアスを指定する必要がないことを意味します。

クラスターでリソース使用率が最大になっている

サーキットブレーカーの例外

説明 API がサーキットブレーカーの例外を返す場合、ロールオーバー API が呼び出されたときに、クラスターで高い JVM メモリ負荷が発生している可能性があります。JVM メモリ負荷に関する問題をトラブルシューティングするには、「Amazon OpenSearch Service クラスターでの高い JVM メモリ負荷をトラブルシューティングする方法」を参照してください。

JVM のメモリ負荷が 75% を下回ったら、次の API コールを使用して、失敗したインデックスに対してアクティビティを再試行できます。

注: インデックスパターン (*) を使用して、失敗した複数のインデックスに対してアクティビティを再試行できます。

クラスターにおける JVM ロールオーバーとは スパイクが低頻度である場合は、ロールオーバーアクションのために次の再試行ブロックを使用して ISM ポリシーを更新することもできます。

ISM ポリシーでは、各アクションは count パラメータに基づく自動再試行を備えています。前のオペレーションが失敗した場合は、「delay」パラメータをチェックして、ISM がアクションを再試行するために待機する必要がある時間を確認します。

ストレージスペースの不足

クラスターのストレージ領域が不足している場合、OpenSearch Service はクラスターで書き込みブロックをトリガーし、すべての書き込みオペレーションは ClusterBlockException を返します。ClusterIndexWritesBlocked メトリクスの値には、クラスターがリクエストをブロックしていることを示す「1」という値が表示されます。したがって、新しいインデックスを作成しようとすると失敗します。また、説明 API コールは 403 IndexCreateBlockException を返します。これは、クラスターがストレージ領域不足であることを示します。クラスターブロックの例外をトラブルシューティングするには、「Amazon OpenSearch Service の 403「index_create_block_exception」エラーを解決する方法」を参照してください。

ClusterIndexWritesBlocked メトリクスが「0」に戻ったら、失敗したインデックスに対して ISM アクションを再試行します。JVM のメモリ負荷が 92% を超えた状態が 30 分を超えて続く場合、書き込みブロックがトリガーされる可能性があります。書き込みブロックが発生した場合は、代わりに JVM メモリ負荷をトラブルシューティングする必要があります。JVM メモリ負荷のトラブルシューティング方法の詳細については、「Amazon OpenSearch Service クラスターで JVM メモリ負荷が高くなった場合のトラブルシューティング方法」を参照してください。

KSKロールオーバーについて

2016年10月から、 DNSの起点となるルートゾーンに対して重要な更新が行われています。 2017年9月には、 ルートゾーンからの一部のDNS応答のサイズが一時的に増加する変更作業が行われました。 また、2017年10月に予定されていたKSKの切り替え作業は延期となりましたが、 2018年2月1日付で発表された計画案では2018年10月11日に改めて実施されることとなりました。 この更新に対して問題なく対応するためには、DNSサーバ運用者だけではなく、 ネットワーク運用者も事前に調査し、 必要があれば準備しておくことが重要です。 (意図せずDNSSEC検証が有効になっている場合もありますので、 対象外とお考えの方もぜひご一読ください。)

2018年9月16日に開催されたICANN理事会において、KSKロールオーバーの最終的な実施可否について審議が行われ、 予定通り2018年10月11日の実施が決定しました。 協定世界時(UTC)では10月11日の午後4時、 日本時間では10月12日の午前1時にロールオーバーが実施されました。

0. 何が起きるか

• ルートゾーンに含まれる鍵(KSK)が新しくなります(トラストアンカーの更新)。
• 一部のDNS応答のサイズ(DNSKEYの応答)が一時的に大きくなります(DNS応答サイズ増大への対応)。

大きくなったDNS応答を正しく受け取れない場合、 DNSSECに関わる通信に悪影響が出る可能性があります。 その結果、インターネットの利用に問題が発生します。

DNSのルートゾーンにおけるKSK (Key Signing Key)の更新が行われることで、 ルートゾーンから転送される一部のDNS応答のサイズが一時的に大きくなります。 またDNSSEC検証を有効にしている場合に、 古いKSKを使い続けていると正常に検証できなくなります。 エンドユーザーにDNSのサービスを正常に提供し続けるためには、 キャッシュサーバの運用をしている方やネットワークの管理をしている方が適切な対応を取ることが必要です。

2. 対応が求められる対象と内容

1. キャッシュサーバ(フルリゾルバ)の運用者、ネットワーク運用者
2. 権威サーバの運用者
3. 顧客のネットワークを運用しているシステムインテグレーター(SIer)

BINDやUnboundなど、 多くのキャッシュサーバはデフォルトでDNSSEC検証が有効になっています。 DNSSEC検証を有効にした覚えがなくとも、 影響を受ける可能性があるのでご注意ください。

3. 対象者別の確認と対処の方法

このKSKロールオーバーの更新で必要となる対応は、 DNSSEC検証を有効にしているキャッシュサーバ等のトラストアンカーを更新すること、 およびKSKロールオーバーの更新作業中に発生するDNS応答のサイズ増大に対応することです。 パケットの大きさが変化するタイミングは以下の通りです。

(※1) DNS応答のサイズは、今後このように変化する予定です。 VPN装置などのデフォルトMTU値やIPv6の最小MTUなどで用いられる1280バイトは、 IPフラグメンテーションが発生しやすくなると推測される値です。

(※2) 2017年10月11日に予定されていた新しいKSKによる署名開始が延期となりました(https://www.nic.ad.jp/ja/topics/2017/20170928-01.html)。 そのため、それ以降のパケットサイズの変化は、 当初予定されていた時期・サイズと異なるものになります。

3.1. キャッシュサーバの運用者、ネットワーク運用者

• 更新後のルートゾーンのKSKがあるか。
• 自動更新機能であるRFC5011の機能が有効になっているか。

BINDの場合、named.ロールオーバーとは confのtrusted-keysディレクティブで鍵を指定します。
Unboundの場合、/etc/unbound/root.keyとして鍵を置きます。 またはunbound-anchorコマンドを利用して更新します。

[RFC5011による自動更新]

BINDの場合、 まずnamed.confのmanaged-keysディレクティブで現在の鍵(KSK-2010)を指定します。 そして、 作業ディレクトリ中のmanaged-keys.bindに更新後の鍵(KSK-2017)が追加されているか確認します。
Unboundの場合、 auto-trust-anchor-fileで現在の鍵(KSK-2010)を指定します。 更新後の鍵(KSK-2017)が上記ファイルに追記されるので確認します。

• 確認Webサイト DNSSEC Key Size Test
  http://keysizetest.verisignlabs.com/
  
  テスト結果の一例。 チェックボックスの四つ目まで緑であればOK。 5番目の項目は、必ず失敗するようになっています。
• DNSを用いた受信可能なパケットサイズの確認
  OARC's DNS Reply Size Test Server
  https://www.dns-oarc.net/oarc/services/replysizetest
  $ dig +bufsize=4096 +short rs.dns-oarc.net txt
  
  digの実行例。 reply size ロールオーバーとは limitの値が1424より大きいことを確認します。

大きなサイズのDNS応答を受け取れない場合の理由として、 IPフラグメンテーションの発生したパケットが届いていないことや、 IPパケットのリアセンブルが正常に行われていないことが考えられます。 対処方法としては、以下が挙げられます。

• キャッシュサーバからDNSルートサーバまでのPath MTUのサイズを確認する。
• VPNやカプセリングなど、パケットのサイズが変わる箇所で、 IPフラグメンテーションが発生しないようにMTUサイズを調整する。
• ファイアウォールなど、パケットのフィルタリングを行う箇所で、 フラグメンテーションされたIPパケットがフィルタリングされないように設定することが考えられます。

3.2. 権威サーバの運用者

権威サーバでは対応の必要はありません。 しかしユーザー側のDNSSEC検証の失敗により、 自身の管理するドメイン名の名前解決ができなくなる可能性があります。 そのため、ユーザーからの問い合わせ対応が必要になる場合があります。

3.3. システムインテグレータ

顧客のシステム内のDNSサーバやネットワーク機器の設定、 運用状況を確認しておく必要があります。 対応としては、上記1.および2.と同様です。

4. よくある質問と回答

A. DNSサーバを運用していない方は、対応の必要はありません。 ご利用中のDNSへの影響がお手元で確認された場合、 キャッシュサーバや収容しているネットワークを運用されている方にお問い合わせください。

A. ご自宅のネットワークでキャッシュサーバを運用していない場合には、 対応の必要はありません。
一方、ご自宅のネットワークでキャッシュサーバを運用している場合には確認が必要になる場合があります。 特にキャッシュサーバでDNSSEC検証を有効にする設定をしていないにも関わらず、 DNSSECに関する問い合わせを受けたときや、 デフォルトでDNSSEC検証が有効になっている場合が挙げられます。
確認方法につきまして「3. 対象者別の確認と対処の方法」をご覧ください。

A. IPv4では問題が無くIPv6で問題が発生したり、 逆にIPv4で問題が発生してもIPv6で問題は無かったりといった例もありますので、 IPv4、IPv6を問わずに確認する事をお勧めします。 IPv6およびIPv4のネットワーク構築のために、 IPパケットのカプセル化を行っている場合などに大きくなったDNS応答を受信できない可能性が高くなります。
確認方法につきまして「3. 対象者別の確認と対処の方法」をご覧ください。

ロールオーバーとは

>>注目情報 >>ニュース >> NISA口座におけるロールオーバーのご案内（2017年NISA枠にお預りのあるお客様へ）

NISA口座におけるロールオーバーのご案内（2017年NISA枠にお預りのあるお客様へ）

①2022年の非課税投資枠に移管（ロールオーバー）

【一般NISA】

【ジュニアNISA】

②課税口座（特定口座または一般口座）へ払い出す

当社でのお手続きについて

• NISA非課税期間満了に伴うお手続きのご案内
• 【NISA】本年末に非課税期間の満了を迎えるお預かり情報のお知らせ
• 非課税講座内上場株式等移管依頼書（以下：移管依頼書）
• 日本証券業協会リーフレット
• 返信用封筒

1. すべて特定口座（未開設の場合は一般口座）に移管する（課税口座へ払い出し）
2. すべて一般NISA（ジュニアNISA）口座（2022年勘定）に移管する（ロールオーバー）
3. 一般NISA（ジュニアNISA）口座（2022年勘定）への移管を「銘柄毎」に指定する（一部ロールオーバー）

「移管依頼書」のご記入、返送は必要ありません。 特定口座を開設済みで、一般預りへの移管をご希望の場合は別途お手続きが必要となりますのでお取引店までご連絡ください。

「移管依頼書」の【ご希望の移管内容】欄のBにチェック☑いただき、ご記入日、お名前をご記入の上、同封の返信用封筒にてご返送ください。

「移管依頼書」の【ご希望の移管内容】欄のCにチェック☑いただき、ご記入日、お名前をご記入ください。 「移管依頼書」裏面以降のページに記載の銘柄につきまして、NISA口座へ移管する銘柄をご指定の上（ご指定の銘柄にチェック☑をお願いします）、同封の返信用封筒にてご返送ください。 ご指定の無い銘柄は、課税口座（特定・一般）への払い出しとなります。

B・C（ロールオーバー）をご選択の場合は「移管依頼書」を本年11月末までに同封の返信用封筒にてご返送いただきますようお願いいたします。

関連記事