=================================== __ /P▲ ◆ JPNIC News & Views vol.1239【臨時号】2014.10.21 ◆ _/NIC =================================== ---------- PR -------------------------------------------------------- ◆◇◆JPNIC主催「Internet Week 2014」◆11/18(火)-21(金)@秋葉原◆◇◆ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ルーティング技術者に!今年起きたインシデントから国内外の最新動向を解説 『変化を乗り越える!インターネットルーティングセキュリティ』 【 プログラム詳細 】 https://internetweek.jp/program/s10/ ---------------------------------------------------------------------- ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ◆ News & Views vol.1238 です ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 2014年9月9日から19日にかけて開催されたAPNIC 38カンファレンスのレポー トを、3回に分けて連載にてお届けしています。 連載の最終回となる本号では、リソースPKIの動向についてご紹介します。 APNIC 38カンファレンスの「全体およびアドレスポリシー関連報告」および 「各RIRにおける逆引きDNSSECの動向報告」については、それぞれ以下のURL からバックナンバーをご覧ください。 □APNIC 38カンファレンス報告 [第1弾] 全体およびアドレスポリシー関連報告(vol.1236) http://www.nic.ad.jp/ja/mailmagazine/backnumber/2014/vol1236.html [第2弾] 各RIRにおける逆引きDNSSECの動向報告(vol.1238) http://www.nic.ad.jp/ja/mailmagazine/backnumber/2014/vol1238.html ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ◆ APNIC 38カンファレンス報告 [第3弾] RPKIの動向 JPNIC 技術部/インターネット推進部 木村泰司 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ リソースPKI (Resource Public-Key Infrastructure; RPKI)は、インターネッ トのルーティングセキュリティ技術で、IPアドレスの記載された電子証明書 (以下、リソース証明書)と、AS番号が記載されたROA (Route Origin Authorization)と呼ばれる電子署名の付いたデータを使って、不正な経路情 報を検出できる技術です。 リソースPKI(RPKI) https://www.nic.ad.jp/ja/rpki/ このRPKIは、JPNICとインターネットマルチフィード株式会社により、2014年 10月1日から試験提供が開始された「ROAパブリックキャッシュ情報の配信」 においても用いられています。BGP (Border Gateway Protocol)ルータの運用 者は、ROAキャッシュサーバに蓄積されているROAを参照することにより、誤っ た経路情報を自動で判別できるようになります。ROAとRPKIを利用した経路制 御の導入が進められることにより、誤った経路情報からインターネットをよ り強固に守ることができるようになると考えられています。 本稿では、APNIC 38カンファレンスへの参加を通じて把握することができた、 アジア太平洋地域におけるRPKI提供の状況についてご報告します。 ■ NIRにおけるRPKIへの取り組み状況 APNICでは、APNICから直接IPアドレスの分配を受けているAPNICメンバーに対 して、既にリソース証明書が発行できるようになっています。IPアドレスに 関するWeb申請システムである"MyAPNIC"では、IPアドレスの分配を受けた APNICメンバーがWeb上でROAを作成する機能の他に、ROAの作成などを自組織 のサーバで行うことができる下位認証局を接続する機能も提供されています。 (*1)。 (*1) Resource Certification - Guide to Resource Certification in MyAPNIC http://www.apnic.net/__data/assets/pdf_file/0015/52602/ResCertGuide.pdf 一方、国別インターネットレジストリ(National Internet Registry; NIR)か らIPアドレスの割り振りを受けている、アジア太平洋地域のISP事業者は、リ ソース証明書の発行を受けることはまだできません。RPKIは技術的に、IPア ドレスやAS番号の分配を行うレジストリが、分配先に対してリソース証明書 を発行する必要があるからです。NIRの中で、JPNICも含め、RPKIのサービス を提供しているところはまだありません。 APNIC 38の期間中に情報交換を通じて見えてきたことは、CNNIC (China Internet Network Information Center)やVNNIC (Vietnam Internet Network Information Center)、IRINN (Indian Registry for Internet Names and Numbers)は、RPKIに関心を示してはいるものの、まだ実験提供には至ってお らず、KRNIC (Korea Network Information Center)やTWNIC (Taiwan Network Information Center)は、実験的な提供を通じて動向を把握している状態だと いうことです。 KRNICは、前々回のAPNIC 36カンファレンスのNIR SIGで、RPKI実験環境を整 えたことを発表していましたが(*2)、"本番提供にはまだ遠い"というのが担 当者の見解でした。 (*2) APNIC 36カンファレンス報告 [第4弾] RPKIの動向報告 https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1126.html ■ JPNICにおけるRPKIへの取り組み状況の報告 JPNICからは、NIRのミーティングであるNIR SIGと、NIRのホストマスターの 会合であるNIRホスト・マスターで、RPKIシステムの開発状況を報告しまし た。JPNICで取り組んでいる開発の特徴は、以下の3点です。 1. RPKI Toolsの日本語対応(多言語対応) 2. Web申請システムとRPKIシステムの認証連携 3. レジストリデータベースとRPKIシステムのデータ連携 RPKIの適用箇所として、ルートサーバが有効かどうかという質問が挙がった 他、後日に「言語の種類が多いアジア太平洋地域における、RPKIの導入に資 する開発であり、RPKI Toolsにフィードバックすべきだ」といったコメント をいただきました。 ◇ IPアドレスの移転とRPKIの業務手順 今後、異なるNIR間でもIPアドレスの移転が行われる可能性があることを考え ると、RPKIを提供するNIRにおいては、IPアドレスやAS番号の移転に技術的に 対応できるようにしておくことが必要になってくると考えられます。RPKIの 仕様策定を行っているIETF SIDR (Secure Inter-Domain Routing) WGでは、 移転の際に、どのような手順でリソース証明書を更新していくべきかの議論 が行われています。この議論では、移転手続きの途中においても、アドレス が証明された状態を途切れさせないようにすることが前提となっています。 しかし、移転時にリソース証明書をどのように扱うのかという、業務手順は まだ整理されておらず、筆者とAPNICのRPKI担当者とでも相談を行っていま す。アジア太平洋地域にはNIRが存在するため、RIRのレベルよりも手順が複 雑になることが想定されます。 大まかなアドレスの移転とリソース証明書更新の手順は、以下のようになる と考えられています。 1. 当事者間での移転の合意 2. 移転先のリソース証明書の再発行(移転後のアドレスを含める) 3. 移転元のリソース証明書の再発行(移転前のアドレスを削除する) 2と3の期間中、同じIPアドレスが二つのリソース証明書に記載された状態に なるのが特徴です。これによって、移転するIPアドレスの有効性を保ち、リ ソースPKIが使われたBGPルーティングに影響が出ないようにできると考えら れています。 もう一つの検討課題として考えられていることは、移転の業務手順です。移 転がAPNICメンバーと、NIRの下に存在するLIR (Local Internet Registry、 JPNICの場合はIPアドレス管理指定事業者など)との間で行われる場合には、 2の前や3の後に、NIRのリソース証明書を再発行する手順が入ってきます。証 明書の再発行と共にタイミングを合わせるために、APNICやNIR同士の連絡が 重要になってくるかもしれません。 今後、アドレスポリシーの上で移転を行うことができるNIRと情報交換を行っ て、実施可能で証明書の利用者が困らないような業務手順を探っていく必要 があると考えられます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ わからない用語については、【JPNIC用語集】をご参照ください。 https://www.nic.ad.jp/ja/tech/glossary.html ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ┃ ◆◇◆◇◆ 本号のご感想をお聞かせください ◆◇◆◇◆ ┃ ┃良かった ┃ ┃→ http://feedback.nic.ad.jp/1239/397dc1dde1ec5f460633fb93cbdbea01┃ ┃ ┃ ┃悪かった ┃ ┃→ http://feedback.nic.ad.jp/1239/e0434de9d67012b21f138cc2a89e809c┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ ___________________________________ ■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■ ::::: 会員リスト ::::: https://www.nic.ad.jp/ja/member/list/ :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有) □┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□ ┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ =================================== JPNIC News & Views vol.1239 【臨時号】 @ 発行 一般社団法人 日本ネットワークインフォメーションセンター 101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F @ 問い合わせ先 jpnic-news@nic.ad.jp =================================== ___________________________________ 本メールを転載・複製・再配布・引用される際には https://www.nic.ad.jp/ja/copyright.html をご確認ください  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 登録・削除・変更 https://www.nic.ad.jp/ja/mailmagazine/ バックナンバー https://www.nic.ad.jp/ja/mailmagazine/backnumber/ ___________________________________ ■■■■■ News & ViewsはRSS経由でも配信しています! ■■■■■ ::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ■■◆ @ Japan Network Information Center ■■◆ @ https://www.nic.ad.jp/ ■■ Copyright(C), 2014 Japan Network Information Center