===================================
__
/P▲ ◆ JPNIC News & Views vol.1458【定期号】2016.12.15 ◆
_/NIC
===================================
---------- PR --------------------------------------------------------
【NTTコミュニケーションズ株式会社】
┏・・・■御社のWebサイト脆弱性対策は大丈夫でしょうか?■・・・━┓
┃OCN vWAFサービスが解決!ネットワーク構成を変更せずに簡単導入!!!
┃脆弱性対策機能に加え、DDoS防御機能も利用可能!詳しくはこちら↓
┗http://www.ntt.com/business/services/network/internet-connect/ocn-business/security/waf.html
----------------------------------------------------------------------
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1458 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2016年11月29日(火)から12月2日(金)にかけて、今年もInternet Week 2016を
開催しました。お馴染みの秋葉原から、東京・浅草橋に会場を変更しての開
催です。本号では、このInternet Week 2016の開催レポートをお届けします。
また本号の発行に合わせて、Internet Week 2016のフォトレポートもJPNICブ
ログで本日公開しました。こちらもぜひ併せてご覧ください。
Internet Week 2016 フォトレポート
https://blog.nic.ad.jp/blog/iw2016-photo/
News & Views ColumnではJPCERT/CCの久保正樹氏に、開発者などと脆弱性情
報のやり取りをする際の悩ましさについて取り上げていただきました。また、
インターネット用語1分解説では、BGPで経路情報を交換する際にオプション
として使われる、BGPコミュニティ属性について解説しています。
2016年のJPNIC News & Views定期号としては本号が最後の発行となりますが、
臨時号やトピックス号などでは、まだ12月下旬まで情報をお届けしてまいり
ます。また、JPNIC Blogでもさまざまな情報発信をしていますので、そちら
もぜひご利用ください。
◆◇◆ JPNICブログ ◆◇◆
◆◇◆ https://blog.nic.ad.jp/ ◆◇◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 目次
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 1 】特集
「『Internet Week 2016 ~見抜く力を!~』開催報告」
【 2 】News & Views Column
「脆弱性通知のスケーラビリティを考える」
一般社団法人JPCERTコーディネーションセンター 久保正樹氏
【 3 】インターネット用語1分解説
「BGPコミュニティ属性とは」
【 4 】統計資料
1. JPドメイン名
2. IPアドレス
3. 会員数
4. 指定事業者数
【 5 】イベントカレンダー
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 1 】特集 「『Internet Week 2016 ~見抜く力を!~』開催報告」
JPNIC インターネット推進部 坂口康子
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2016年11月29日(火)から12月2日(金)まで、今年もInternet Weekを開催しま
した。今回は久しぶりに会場を変更して秋葉原を離れ、東京・浅草橋のヒュー
リックホール&ヒューリックカンファレンスにて行いました。
総プログラム数は31、最終的な参加者数は約2,400名(延べ人数、同時開催イ
ベントの参加者を含む)でした。毎年Internet Weekにご注目いただいている
方の中には気づかれる方もいらっしゃるかもしれませんが、プログラム数・
参加者数とも数字の上では例年より若干減少しているように見えます。これ
は後で触れますように、一部のプログラム形態を変更した(1日セッションを
増やした)ことによるもので、ユニークな参加者数で言いますと、例年と同程
度の方々にご来場いただくことができました。
■ 今年のテーマ:見抜く力を!
Internet Weekでは、毎年テーマを設定しています。今年は「見抜く力を!」
でした。詳細は高田寛実行委員長の挨拶(*1)をご覧いいただきたいのですが、
インターネットを取り巻くさまざまな課題の本質を見抜く力を、講演者と参
加者で共に養っていこう、という想いが込められています。
(*1) JPNIC News & Views vol.1423
特集 「見抜く力を! ~Internet Week 2016開催に向けて~」
https://www.nic.ad.jp/ja/mailmagazine/backnumber/2016/vol1423.html
最終的にこのフレーズに決まったのは7月頃でしたが、そのコンセプトは既に
春先からありました。毎年4月、その年度に開催するInternet Weekに向け、
まずは実行委員会(*2)が召集されます。そこでコンセプトやプログラム企画
の進め方の検討が始まります。Internet Weekのプログラム内容が多岐にわた
るように、それに携わる実行委員・プログラム委員の専門分野もさまざまで
す。そのような中でも、今年参加者に持ち帰っていただきたいものは何かを
考えたとき、本当に大切なものは何かをいま一度よく考えて、見極めていく
力なのではないかという点で、全員が一致しました。後日開催したプログラ
ム委員会でも、このコンセプトに深くうなずく委員が多数見られました。
(*2) Internet Week 2016 実行委員会・プログラム委員会
https://internetweek.jp/program/committee.html
プログラム委員会での検討を経て完成した今年のプログラム(*3)は、ハンズ
オンを取り入れたものを筆頭に、会場からのコメント・質問を積極的に受け
付けるなど、自ら考えたり、手を動かしたりするプログラムが、例年よりも
多かったのではないでしょうか。
(*3) Internet Week 2016 プログラム
https://internetweek.jp/program/
■ 20回目のInternet Week 変更点その1:7年ぶりに新会場へ
今年は二つの新しいことにチャレンジしました。
一つ目は会場の変更です。1997年に前身の「IP Meeting」から名を変えて始
まったInternet Weekは、初期の頃は横浜を中心に、関西地区で開催したこと
もありました。その後、2007年に会場を東京に移してからは、秋葉原での開
催が続いていましたが、今年はそこからJR総武線で1駅の浅草橋駅近くの会場
を使用しました。
新会場の一番の魅力は、広いホワイエ、会場2Fのホール前にある約300平方
メートルのスペースです。ここは主にご協賛企業様のご協力により、ブース
出展、ドリンクサービス等で盛り上げていただきました。コーヒーを飲みな
がら、参加者間の交流を深めたり、協賛企業様・後援団体様が提供する資料
を集めたりと、有意義な休憩時間が過ごせたようでしたら幸いです。午後に
は、会場ネットワークの設計/構築/運用を担当したNOCチームが、「IPv6で遊
ぼう」と題し、会場ネットワークとしても利用されていた、NAT64を利用した
IPv6 onlyの実験ネットワークに関する情報共有を行った日もありました。
■ 20回目のInternet Week 変更点その2:1日プログラムと4日通し券
今年のもう一つの大きな変更点は、1日プログラムを毎日開催したことです。
最終日に1日セッションの「IP Meeting」、それより前の日に2.5時間のセッ
ションが1日に複数行われるのが、最近のInternet Weekのプログラム構成で
した(*4)。今年は最も大きな会場(2Fホール)で開催するセッションを、すべ
て1日プログラムとしました。内容は考慮せず形態だけで見ますと、初日から
最終日まで会期中は毎日IP Meetingがあるようなイメージです。
(*4) [ご参考] 昨年のInternet Weekのプログラム
https://www.nic.ad.jp/iw2015/program/
この変更に先立ち、2015年の春、前年のInternet Week 2014にご参加いただ
いた方々とJPNIC会員の皆様を対象にアンケートを実施しました。恒例の「今
年のInternet Weekで取り上げてほしいトピック」に加え、Internet Weekの
参加費についてお伺いしました。
これまでのようにセッションごとに参加費を支払う形式と、定額の参加費で
どのセッションも参加できる形式のどちらがいいかを確認したところ、結果
はほぼ半々、強いて言えば前者を支持する方が若干多いといったところでし
た。
前者を支持する方の主なご意見は、
- 参加費について所属組織に説明しやすい
- 本当にその問題に関心のある意識の高い参加者が集まる
- 参加セッションが少ない人にとっては割高になるのでは
また、後者を支持する方の主なご意見は、
- 空き時間にこれまで参加してこなかったようなセッションにも参加する
機会が増え、興味・関心の幅が広がるのでは
- 直前に予定が変わることが多いため、幅を持たせて参加セッションが登
録できるとうれしい
ということでした。数的にも内容的にも一方に決め難かったため、どちらの
エッセンスも半分ずつ取り入れたのが、今年のプログラム形態です。従来の
セッションごとに参加費を設定するプログラム(2.5時間/5時間プログラム)は
3分の2程度残し、専門的で対象者を絞ったセッションを中心に割り当てまし
た。また、前述のように1日プログラムを導入しました。ここには、事前アン
ケート結果やこれまでの参加者数を考慮し、参加者の多くが聴きたいであろ
う、あるいは聴いてほしいテーマを割り当てました。また1日プログラムを対
象に4日通し料金を設定し、1日プログラムに二つ以上申し込むと、お得な料
金で参加できるようにしました。
■ Internet Week プログラム委員長の交代
今年はもう一つ、内部的には大きな出来事がありました。プログラム委員長
の交代です。これまではJPNICの前村昌紀が務めていましたが、今年は中津留
勇さん(SecureWorks Japan株式会社)に委員長を、中島智広さん(日本DNSオペ
レーターズグループ/NRIセキュアテクノロジーズ株式会社)に副委員長をそれ
ぞれお願いしました。委員の中では若手にあたるお二人が、委員間の連絡ツー
ルとしてSlackを取り入れ、委員間のコミュニケーションをより活性化させる
など、今年のプログラム委員会には、新しい風が吹いたように思います。
■ 最後に
Internet Week 2016の講演資料、参加者アンケート結果、BoF開催報告書など
は、年明けより順次、公式Webサイト(*5)にて公開予定です。会期中の様子は
SNSでも発信(*6)していましたので、興味のある方はご覧ください。
(*5) Internet Week 2016 Webサイト
https://internetweek.jp/
(*6) Internet Week 2016 SNS
Twitter https://twitter.com/InternetWeek_jp
Facebook https://www.facebook.com/InternetWeek
今年のInternet Weekは、会場の変更、1日プログラムの導入と久しぶりに大
きな変更をした年でした。試行錯誤な面もあり、ご不便をおかけしたことも
あったかもしれませんが、今年のInternet Weekを少しでも楽しんでいただけ
たのなら、また少しでもお役に立てたのなら、喜ばしい限りです。この原稿
を書いているのは閉幕直後となりますが、今後上がってくるアンケートの結
果や開催にご尽力いただいた関係者のコメント等も踏まえながら、来年に生
かしていきたいと思います。
最後になりましたが、ご講演者の皆様、ご協賛の皆様、プログラム委員をは
じめとした協力団体の皆様など、開催にご協力いただいたすべての方々に感
謝いたします。
来年の本イベントは、2017年11月27日(月)の週に開催予定です。ぜひ今から、
ご予定に組み入れていただけますと幸いです。次回も多数の方のご参加をお
待ちしています。
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃ ◆◇◆◇◆ 本特集のご感想をお聞かせください ◆◇◆◇◆ ┃
┃良かった ┃
┃ http://feedback.nic.ad.jp/1458/6618fb850633580c3132e61958691ebb ┃
┃ ┃
┃悪かった ┃
┃ http://feedback.nic.ad.jp/1458/e4e7744c0efc946c881e0faf91f9c90f ┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 2 】News & Views Column
「脆弱性通知のスケーラビリティを考える」
一般社団法人JPCERTコーディネーションセンター 久保正樹
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ソフトウェアにはバグがつきものですが、バグの中でも脆弱性と呼ばれる悪
用可能なバグについては、セキュリティ研究者やバグハンターと呼ばれる人々
が、最新の技術やソフトウェアを日々探求する中で発見し、善意で私たちの
元へと届け出てくださっています。私たち調整機関の役割は、届け出られた
バグをきちんと開発者の方にお伝えし、対策してもらうことですが、最初の、
そしておそらくは最大の難関は、開発者の方に脆弱性を通知するというコミュ
ニケーションの確立です。
脆弱性に関する多くの届け出は、これまで調整機関もコンタクトしたことが
ない、ご新規の開発者さんに対するものです。メールでの通知が基本のため、
まずはメールアドレスを捜索するところから始まります。Googleで検索して
見つけたアドレスにメールを送っても、なんの応答も得られないケースは少
なくありません。最近ではAndroidアプリのバグも多く届け出られています
が、Google Playには開発者の連絡先アドレスが必ず掲載されているものの、
大手企業のアプリのコンタクト先がGmailのアドレスだったりして不安になり
ます(さらに通知しても応答がないケースもしばしば)。開発企業のドメイン
名情報を元にWHOISで検索しても、匿名化にはばまれることも多々あります。
このように1件1件を通知するだけでも一筋縄ではいきませんが、大量の脆弱
性が届け出られると通知はスケールしません。プロセスに多くの手作業と試
行錯誤が伴うためです。同じ悩みというか問題意識は研究者も抱えているよ
うで、今年のUSENIX Security Symposium(*1)では脆弱性の通知に焦点を当て
た研究論文が発表されたほどです。バグ発見手法の進歩により、脆弱性を大
量にかつ機械的に発見することができるようになった一方で、大量の通知を
実現する方法については、これまで誰もきちんと考えてこなかったのではな
いか、というのが研究者の主張です。それを考えるのは私たちの仕事でもあ
るのですが……。
この通知のスケーラビリティ問題を解決できる、よい連絡方法はないもので
しょうか?
最近あらためて見直されるべきではないかと読んでいたのが、1997年に策定
されたRFC2142(*2)です。このRFCは、電子メールを使う企業においては、企
業が提供する一般的なサービスに対応する一般メールアドレスを用意してお
きましょうね、というもので、メールアドレスの具体例としてinfo@、
support@、abuse@、security@などが挙げられています。セキュリティに関す
る問い合わせを受け取れるようsecurity@のメールアドレスを用意しておくこ
とが、いまから20年も前に提案されていたのですが、スパムの問題からか、
はたまたRFC自体が注目されなかったからか、ほとんど普及していないのが現
状ではないでしょうか。
脆弱性研究者の間では、脆弱性を見つけた企業のsecurity@にメールを投げつ
けることをもって、脆弱性を通知したとみなすことがあります。RFC2142に
のっとって我々は通知したぞ。知らないとは言わせないぞ、というわけです。
そして通知後、企業からなんの応答もなければ、脆弱性が公表されることが
あります。企業にとっては寝耳に水、それでは困ります。セキュリティイン
シデントに備え、CSIRTの立ち上げや、外部からセキュリティに関する通知を
受け付ける窓口設置の重要性がうたわれている今日ですが、その前にあらた
めて、みんなでRFC2142を見直し、企業が脆弱性の通知を受け取るコミュニ
ケーションチャンネルを標準化しておくことが重要ではないかと思っていま
す。
(*1) 25th USENIX Security Symposium
https://www.usenix.org/conference/usenixsecurity16
(*2) RFC2142 "MAILBOX NAMES FOR COMMON SERVICES, ROLES AND FUNCTIONS"
https://tools.ietf.org/html/rfc2142
■著者略歴
久保 正樹(くぼ まさき)
一般社団法人JPCERTコーディネーションセンター 情報流通対策グループ所
属。2005年よりソフトウェアの脆弱性の分析や調整業務に従事するかたわら、
セキュアコーディングに関する調査・研究、教育や書籍の翻訳などを行う。
東京電機大学CySec、NIIトップエスイー講師。ISO/IEC SC27/WG4委員。2016
年Internet Weekプログラム委員。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 3 】インターネット用語1分解説
「BGPコミュニティ属性とは」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
BGPコミュニティ属性(BGP community attribute)とは、AS(*1)間での経路交
換に利用されているBGPにおいて、やり取りされる経路情報に追加情報を付与
するためのオプションです。それぞれの経路情報のラベルのように機能し、
経路に対して特別な処理を行うためのフラグとして利用することができます。
RFC1997では、32bitの値をパス属性として付与することが可能と定義され、
RFC4360では値が64bitに拡張されたExtended communityが定義されています。
BGPコミュニティ属性には、Well-known communityとしてあらかじめ定められ
ているものもありますが、値の定義されていない範囲は、その値の意図する
内容を運用者のポリシーで独自に定めて利用でき、一部の事業者はその利用
方法をWebなどでアナウンスしています。
RFC1997で定義されたWell-known communityには、以下の三つがあります。
・NO_EXPORT (0xFFFFFF01)
このコミュニティ属性を持つ経路を、AS内部を複数のサブASに分割して
サブASごとで経路制御を行うBGPコンフェデレーションの外部へ広報しな
い(スタンドアロンなASの場合は、自身のみでコンフェデレーションを構
成しているとする)。
・NO_ADVERTISE (0xFFFFFF02)
このコミュニティ属性を持つ経路を他のBGPピアへ広報しない。
・NO_EXPORT_SUBCONFED (0xFFFFFF03)
このコミュニティ属性を持つ経路を外部のBGPピアへ広報しない。これは
BGPコンフェデレーション内のサブASを含む。
加えて、近年新たなWell-known communityとして、RFC7999でブラックホール
コミュニティが定義されました。
・BLACKHOLE (0xFFFF029A)
これはDDoS攻撃などのターゲットになっているIPアドレスに対して付与
することで、経路情報を受け取った相手先のネットワークでの該当の経
路向けのパケットの破棄を期待するもの。
すべてのBGP Well-known communityは、IANAのWebサイト(*2)にまとめられて
います。
(*1) インターネット用語1分解説:ASとは
https://www.nic.ad.jp/ja/basics/terms/as.html
(*2) http://www.iana.org/assignments/bgp-well-known-communities/bgp-well-known-communities.xhtml
<参考>インターネット10分講座:BGP
https://www.nic.ad.jp/ja/newsletter/No35/0800.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 4 】統計資料
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. JPドメイン名
o 登録ドメイン数(2016年7月~2016年12月)
--------------------------------------------------------------------------------------------
日付| AD AC CO GO OR NE GR ED LG GEO GA GJ PA PJ TOTAL
--------------------------------------------------------------------------------------------
7/1|258 3563 385609 585 33233 14029 6503 5066 1875 2337 854742 112475 8751 2743 1431769
8/1|259 3569 386343 584 33327 14004 6487 5075 1875 2331 857469 112382 8804 2735 1435244
9/1|259 3569 387171 584 33413 13978 6474 5079 1875 2327 860433 112404 8853 2588 1439007
10/1|260 3566 388263 589 33546 13931 6455 5087 1876 2322 863174 114137 9007 2601 1444814
11/1|260 3569 389234 589 33661 13876 6430 5106 1878 2320 865390 114203 9024 2617 1448157
12/1|261 3575 390192 586 33780 13866 6414 5112 1878 2314 868279 114246 8835 2586 1451924
--------------------------------------------------------------------------------------------
GA:汎用ドメイン名 ASCII(英数字)
GJ:汎用ドメイン名 日本語
PA:都道府県型ドメイン名 ASCII(英数字)
PJ:都道府県型ドメイン名 日本語
2. IPアドレス
o JPNICからのIPv4アドレス割り振りとJPNICへのIPv4アドレス返却ホスト数
(2016年6月~2016年11月)
------------------------------------------
月 | 割振 | 返却 | 現在の総量
------------------------------------------
6 | 5120 | 0 | 93083592
7 | 2048 | 0 | 93085640
8 | 13568 | 11520 | 93087688
9 | 2048 | 0 | 93089736
10 | 0 | 0 | 93089736
11 | 2560 | 0 | 93092296
------------------------------------------
□統計情報に関する詳細は → https://www.nic.ad.jp/ja/stat/
3. 会員数 ※2016年12月5日 現在
---------------------
会員分類 | 会員数 |
---------------------
S会員 | 3 |
A会員 | 1 |
B会員 | 2 |
C会員 | 2 |
D会員 | 97 |
非営利会員| 10 |
個人推薦 | 33 |
賛助会員 | 39 |
---------------------
合計 | 187 |
---------------------
□会員についての詳細は → https://www.nic.ad.jp/ja/member/list/
4. 指定事業者数 ※2016年12月9日 現在
IPアドレス管理指定事業者数 415
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 5 】イベントカレンダー
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2016.12.16(金) IETF報告会(97thソウル)
(東京、JPNIC会議室)
---------------------------------------------------------------------
2017.1.18(水)~20(金) JANOG39 [協賛] (石川、金沢市文化ホール)
2017.1.19(木) 第47回ICANN報告会(東京、JPNIC会議室)
---------------------------------------------------------------------
2017.2.6(月)~8(水) NANOG 69 (Washington, U.S.A.)
2017.2.12(日)~17(金) APAN 43 (New Delhi, India)
2017.2.20(月)~3.2(木) APRICOT 2017/APNIC 43
(Ho Chi Minh City, Vietnam)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
わからない用語については、【JPNIC用語集】をご参照ください。
https://www.nic.ad.jp/ja/tech/glossary.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■
::::: 会員リスト ::::: https://www.nic.ad.jp/ja/member/list/
:::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
JPNIC News & Views vol.1458 【定期号】
@ 発行 一般社団法人 日本ネットワークインフォメーションセンター
101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
@ 問い合わせ先 jpnic-news@nic.ad.jp
===================================
___________________________________
本メールを転載・複製・再配布・引用される際には
https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更 https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■ News & ViewsはRSS経由でも配信しています! ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
■■◆ @ Japan Network Information Center
■■◆ @ https://www.nic.ad.jp/
■■
Copyright(C), 2016 Japan Network Information Center
JPNICはインターネットの円滑な運営を支えるための組織です
- JPNIC
-
IPアドレス・AS番号
指定事業者向け各種申請手続/お知らせ
一般ユーザーの方
-
JPNIC会員
会員向け情報/各種変更手続
入会のご案内
