メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway

よく検索されるキーワード

IPv6 DNS HTTP WHOIS BGP IPv4 ドメイン名とは IPアドレス FQDN インターネット
ロゴ:JPNIC
WHOIS検索 サイト内検索

よく検索されるキーワード

===================================
    __
    /P▲        ◆ JPNIC News & Views vol.1286【臨時号】2015.3.18 ◆
  _/NIC
===================================
---------- PR --------------------------------------------------------
【 株式会社 アイテックジャパン 】
┏━━━■■究極のBCP/DR 遠隔地瞬時切換システム ■■━━━━━━┓
データセンター内の冗長化ではなく、遠隔地データセンター同士の
冗長化が可能。その上、災害時、瞬時に切り換えが出来ます。
┗━━━━━━━━━━━━━━━━━━━━http://itec.ad.jp/━━━━
----------------------------------------------------------------------
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1286 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

リソースPKI (RPKI)に関して、JPNICはこれまで、実際のアドレスブロックに
ひも付いていない環境で、リソースPKIの世界を体験できる模擬環境を提供し
てきました。しかしこの度3月3日に、「ケーロちゃん」の愛称で、JPNICの持
つIPアドレスやAS番号の割り振り・割り当て先が登録されたデータベースと
連携したリソースPKIのシステムの試験提供を始め、実際に分配されているIP
アドレスが記載された電子証明書(リソース証明書)が発行されるようになり
ました。

   ・RPKIシステムの試験提供開始のお知らせ
     https://www.nic.ad.jp/ja/topics/2015/20150303-01.html

本号では、この新しいRPKIシステム試験提供の背景や利用方法に加え、今月
に行われた「APRICOT-APAN 2015」におけるRPKIの話題についてもお伝えしま
す。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ RPKIシステムの試験的な提供開始について
                           JPNIC 技術部/インターネット推進部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

2015年3月3日、JPNICではRPKI(リソースPKI)システムの試験的な提供を開始
いたしました。本稿では、RPKIシステムの試験提供に至る背景と、NIRにおけ
るRPKIの意味、RPKIシステムの使い方、そして提供開始時に開催されていた
APRICOT-APAN 2015におけるRPKI関連の話題をお送りいたします。


◆試験提供の背景

RPKIは、IPアドレスなどのアドレス資源が記載された電子証明書を使って、
アドレス資源が正しく割り振られたものであることを確認する仕組みです。

  ・インターネット1分用語解説:リソースPKIとは
    https://www.nic.ad.jp/ja/basics/terms/resource-pki.html

リソース証明書は、2010年頃には既にすべてのRIRで発行されていましたが、
この頃は、発行された証明書を使うための実装がまだ進んでおらず、インター
ネットの運用に役立つような仕組みとして機能するまでには至っていません
でした。しかし2012年後半、シスコシステムズ社やジュニパーネットワーク
ス社といった大手のネットワーク機器メーカーの実装が進むことで状況が変
わってきます。無料で利用できるBGPソフトウェアルータQuaggaのRPKI対応モ
ジュールである、BGP-SRxの実装も安定してきました。

2013年以降、JANOGにおいて「RPKIルーティングを試す会」が設立され、技術
を試す活動と平行して、インターネットイニシアティブ社、KDDI社、インター
ネットマルチフィード社といった大手事業者による技術検証も行われてきま
した。一方、アジア太平洋地域のNIRでは、技術的な検証作業は行われていた
ものの、NIRによるリソース証明書の提供に向けた具体的な動きはありません
でした。


◆JPNICがRPKIの認証局を構築する意味

RPKIは、アドレス資源の割り振り構造に沿って電子証明書が発行されるPKI技
術です。アジア太平洋地域では、IPアドレスを共有化されたプールから各国
のNIRが割り振りを行う「共有プール」化が進んでいます。従って、共有プー
ルのみからIPアドレスの分配を行っている国では、直接APNICのリソース証明
書発行の機能が利用できる可能性があります。

一方、日本では、CIDR (Classless Inter-Domain Routing)へとIPアドレスの
管理方法が変わる前から、IPアドレスが分配されてきました。分配の経緯と
ポリシーが異なったIPアドレスブロックが混在する中でRPKIを構成するには、
それぞれのブロックの違いを吸収しつつ、IPアドレスの申請を行われている
方が使いやすいような構造にしていく必要があります。そのためには、JPNIC
でRPKIの認証局を運用した上で、リソース証明書を発行する仕組みが重要で
あると考えています。

またその実現には、JPNICのレジストリデータベース(WHOISデータベース)と
連携し、国内における最新の割り振りにもとづいたリソース証明書が発行で
きること、日本語で分かりやすいユーザーインタフェースを持つこと、と
いったことが必要になってきます。


◆RPKIシステムの利用方法

JPNICのRPKIシステムは、前述の要件をクリアしつつ、RIRと同等の仕組みを
国内でも提供できるように作られました。RIPE NCCやAPNICと同様に、リソー
ス証明書の発行やROAの作成を行うための利用方法には以下の二つがあります。

  (1) ROA Web(ROA発行代行機能)

     Webインタフェースを使ってリソース証明書の自動発行やROA発行ができ
     る仕組みです。ユーザーの認証には資源申請者証明書を使うため、IPア
     ドレスに関する申請を行うことができる方は、リソース証明書の自動発
     行の開始や停止、ROAの作成や削除ができます。

     本来、ROAに施される電子署名のための秘密鍵はユーザーが持つもので
     すが、簡便な仕組みのためのROA WebではJPNICのRPKIシステムに格納さ
     れます。そのためこの仕組みはJPNICが代行する機能という位置づけに
     なっています。

  (2) BPKI接続

     BPKI (Business PKI)とは、リソース証明書の発行に必要なIPアドレス
     の情報などを、RPKIシステムの間で交換するために使われるPKIです。
     IPアドレスの分配先の組織などで設けられたRPKIシステムと、JPNICの
     RPKIシステムを接続するために使われます。

     RPKIにおいて常時アクセスできることが重要なリポジトリなどのサーバ
     を、JPNICとは独立して運用でき、リソース証明書やROAの有効性に関す
     るリスクを1ヶ所に集中させないことが可能です。

詳しくはJPNICのリソースPKIのページをご覧ください。

   ・リソースPKI (RPKI)
     https://www.nic.ad.jp/ja/rpki/


◆APRICOT-APAN 2015におけるRPKI関連の話題

2015年2月24日~3月5日にかけて福岡で開催されたAPRICOT-APAN 2015では、
RPKIのチュートリアル&ハンズオン、ブースの出展、RPKIに関するパネルディ
スカッションが行われました。それについて簡単に報告します。

   - RPKIチュートリアル&ハンズオン

     インターネットマルチフィード社の協力により、チュートリアルとハン
     ズオンを行いました。15名ほどが参加され、6名ほどがハンズオン環境
     のBGPルータにおけるOrigin Validationの動作を確認されました。ハン
     ズオンコースでは、同一のprefixに関する経路情報を受け取るように設
     定されたBGPルータにログインしていただき、RPKIとROAを使って、経路
     表の中でvalid(有効)とinvalid(無効)と表示される様子を見ていただき
     ました。

   - ブースの出展

     今回APNIC 39は日本開催ということもあり、ブースの出展を行いました。
     JPNICの説明と共にRPKIの説明と、試験提供開始後はデモを行いました。

     ブースには、RPKIに興味を持ってくださる方の写真を撮って貼るコルク
     ボードを用意しました。APNICでRPKIについてさまざまな活動をされて
     いるGeorge Michealson氏をはじめ、APNICのPaul Wilson氏や国内の
     ISP事業をされている方々など、多くの方に写っていただくことができ
     ました。このボードはJPNIC事務局の受付スペースに展示してあります
     ので、いらした際にはご覧いただくことができます。

   - RPKIデプロイメントパネル

     RPKIの導入や普及に関するパネルディスカッションが行われました。パ
     ネリストはインターネットマルチフィード社の吉田友哉氏、インターネッ
     トイニシアティブ社の松崎吉伸氏、バングラデシュでRPKIの調査研究を
     されているFakrul Alam氏、筆者と、そしてチェアはAPNICのGeoff
     Huston氏です。

     パネルディスカッションでは、RPKIを使った計測データに加えて、普及
     の要素やIRRとの関係、RPKIのローカルキャッシュサーバとパブリック
     キャッシュサーバの意味など、短い文章では紹介しきれないほど深く、
     多岐に亘る議論が行われました。APNICのBlogでも取り上げられました
     ので、ご興味のある方はぜひご覧いただければと思います。

   ・ RPKI Deployment Panel
      https://2015.apricot.net/program#sessions/rpkideploymentpanel

   ・ APRICOT 2015: RPKI deployment session
      https://blog.apnic.net/2015/03/04/apricot-2015-rpki-deployment-session/

     またこのセッションに合わせて、JPNICのRPKI試験提供も開始しました。


◆RPKIの今後

RPKIは対応ルータが増えてきており、技術的には利用しやすくなってきまし
た。しかし今後BGPの運用に本当に役立つようになるかどうかは、多くのROA
が作成されるかどうかにかかっていると言えます。またアジア地域における
普及も鍵になってくると考えられます。

IPアドレスの分配を受けている方は、ぜひRPKIシステムをご利用いただけれ
ばと思います。

                 ◇              ◇               ◇

APRICOT-APAN 2015では、会場のネットワークチームの皆様とインターネット
マルチフィード社をはじめ、多くの方にご協力をいただきました。

RPKIのチュートリアル&ハンズオンの当日は、チュートリアル会場に設置さ
れた無線LANのセグメントを、JPNICのブースの中に設置されたサーバと専用
のVLANで接続する特別な対応を、会場のネットワークチームに対応していた
だきました。またこのプライベートセグメントでは、プライベートアドレス
の経路情報がBGPで交換され、Origin ASが異なる二つの経路情報がOrigin
Validationに対応したルータに入ってくるBGPのネットワークが作られてい
ました。これはインターネットマルチフィード社で行われたハンズオンセミ
ナーを基にして作られた構成です。

ブースの準備やハンズオン準備など、JPNIC社内でも一体となって準備が進め
られたAPRICOT-APAN 2015でした。ブースにいらした皆様には写真に写ってい
ただいて、コルクボードが楽しいものになりました。

皆様にお礼を申し上げたいと思います。ありがとうございました。


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
             https://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃     ◆◇◆◇◆   本号のご感想をお聞かせください   ◆◇◆◇◆     ┃
┃良かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1286/95b79a5e75b4d7f2a988fa3993c447e6┃
┃                                                                  ┃
┃悪かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1286/a29f91838f6ebe4b9e549c54fc23a628┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  ::::: https://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.1286 【臨時号】

 @ 発行  一般社団法人 日本ネットワークインフォメーションセンター
          101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
 @ 問い合わせ先  jpnic-news@nic.ad.jp
===================================
___________________________________
            本メールを転載・複製・再配布・引用される際には
        https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更   https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー     https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■     News & ViewsはRSS経由でも配信しています!    ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

■■◆                          @ Japan Network Information Center
■■◆                                     @  https://www.nic.ad.jp/
■■

Copyright(C), 2015 Japan Network Information Center

このページを評価してください

このWebページは役に立ちましたか?
よろしければ回答の理由をご記入ください

それ以外にも、ページの改良点等がございましたら自由にご記入ください。

回答が必要な場合は、お問い合わせ先をご利用ください。

メールマガジン(JPNIC News & Views)登録

パスワードが記載された確認メールが発送されます。 確認メールが届かない場合は、 ご入力いただいたメールアドレスが
誤っていた可能性がありますので、 再度ご登録手続きを行ってください。

ロゴ:JPNIC

Copyright© 1996-2024 Japan Network Information Center. All Rights Reserved.