━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    __
    /Ｐ▲        ◆ JPNIC News & Views vol.1670【臨時号】2019.3.29 ◆
  _/ＮＩＣ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1670 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

2019年2月下旬に韓国・大田広域市で開催された、APRICOT 2019/APNIC 47カ
ンファレンスのレポート[第2弾]として、本号では技術関連の動向をご紹介し
ます。

本カンファレンス全体の概要をご紹介したレポートについては、下記のバッ
クナンバーをご覧ください。なお、連載の[第3弾]では、アドレスポリシー関
連の動向をご紹介する予定です。

□APRICOT 2019/APNIC 47カンファレンス報告
  [第1弾] 全体概要報告(vol.1667)
  https://www.nic.ad.jp/ja/mailmagazine/backnumber/2019/vol1667.html

また、本カンファレンスの様子は、JPNICブログでも写真を交えてご紹介して
いますので、ぜひご覧ください。

    APNIC47フォトレポート
    https://blog.nic.ad.jp/blog/apnic47_daejeon/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ APRICOT 2019/APNIC 47カンファレンス報告 [第2弾] 技術動向報告
                                                 JPNIC 技術部 佐藤秀樹
                            JPNIC インターネット推進部/技術部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

APRICOT 2019、特に筆者の参加した後半のAPNIC 47カンファレンス(以下、
APNIC 47)では、技術的なプレゼンテーションは、APOPS (Asia Pacific
OperatorS Forum - アジア太平洋地域オペレーターズフォーラム)というセッ
ションで行われました。本稿では、APOPSとAPNICの技術的なサービスに関す
る報告の中から、最新の動向をお送りします。


■ KSKロールオーバー 2015-2019：得た教訓

KSKロールオーバープロジェクトの紹介と、最新状況のアップデートが、ICANN
シニアテクノロジストのEdward Lewis氏よりありました。

ルートゾーンの署名で利用されているKSK (Key Signing Key、鍵署名鍵)の更
新は、2015年の計画立案の後、2019年まで時間をかけて各マイルストーンを
消化し、現在最終フェーズに入っています。

セッションでは、KSKロールオーバー全体の概要紹介として、KSKがどういう
ものであるかや、どのような作業を行ったのかという解説、テストやモニタ
リングの難しさなどの解説がありました。また、現在最終段階として行われ
ている、古い鍵の廃止時に観測された事象の報告がなされました。

これは、DNSルートサーバで観測されたDNSKEYクエリ数の推移に、大きな変動
が見られたというもので、2018年10月のキーロールオーバー前に2,000クエリ/
秒前後だったものが、作業後には倍の約4,000クエリ/秒となったそうです。
また、その後は徐々にとはいえ減少する傾向にあったものの、2019年の1月に
行われた鍵の廃止作業時後に、一気に3倍の12,000クエリ/秒となり、それ以
降も増えているという結果が示されました。

このような変動は予期していなかったということですが、現在クレームなど
は無く、実際の運用にインパクトを与えるものではないと考えられるという
ことです。原因などは不明なようで、今後さらなる調査がなされるようです。

今後について、より長い期間のデータを取得した上で、さらなる分析を行う
ことについても共有がありました。

  The KSK Rollover 2015-2019: Lessons Learned
  https://2019.apricot.net/assets/files/APKS756/ksk-rollover-2015-2019.pdf


■ IPv6 Deployment & Challenges in SKT 4G/5G

2019年2月26日(火)の夕方に行われたAPNIC IPv6 Deploymentセッションでは、
アジア太平洋(APAC)各地域の、IPv6関連動向の紹介がありました。ここでは、
SKテレコム社のHangwoong Lim氏からのアップデートを紹介します。

SKテレコム社は、3,000万以上の契約を持つ韓国最大の移動体通信事業者
(Mobile Network Operator; MNO)で、2018年12月より展開を開始している5G
回線に加え、メディアやIoT、AIなどの事業を行っている企業です。LTEをIPv6
に対応させることで、IPv4アドレスの在庫枯渇の問題を解決したということ
で、現在約60%のトラフィックがIPv6で利用されていると紹介されていまし
た。

技術としては、464XLATとDNS64/NAT64を使用しているということで、その構
成や課題の共有がありました。この構成は、以前より北米のT-mobile社で成
功裏に利用されていることが紹介されていましたが、各国の多数のMNOでも利
用されているようで、合計8社の名前が挙げられていました。

また、IPv6の展開に当たっては、サービスレベルの低下が無いよう、Google
Playストアの1500ものアプリのテストを行い、課題の解決を図ったというこ
とも紹介されました。

SKテレコム社では、LTEデバイスにはデータと音声ともにIPv6 onlyとしてい
ることから、デュアルスタックでは実現できない、IPv4アドレスの在庫枯渇
への対応がなされています。

他のプレイヤーと、5GやIoTなどの領域でより良いコラボレーションを行って
いく上で、アドレスが単純に無いことのみが理由ではなく、継続性、スケー
ル拡大の対応性、将来性などを踏まえ、IPv6を採用しているとのことでした。


■ アジア太平洋地域におけるレジストリ・データベースに関わる取り組み

APNICやJPNICが行っているレジストリとしてのサービスには、IPアドレスの
ような番号資源の分配と、レジストリ・データベースの運用があります。レ
ジストリデータベースはWHOISの提供の他に、逆引きDNSやリソースPKI (RPKI)
のために使われています。APNIC 47では、レジストリデータベースに関わる
取り組みや、今後について発表が行われました。アジア太平洋地域の状況と、
日本の状況を交えて報告します。

○歴史的な経緯をもつプロバイダ非依存アドレス(以下、歴史的PIアドレス)
  と逆引きDNS

  日本・中国・韓国には、APNICが設立される以前に割り当てられたような、
  歴史的PIアドレスがあります。そのようなIPアドレスは、逆引きDNSのゾー
  ンの管理方法が、APNICから国別インターネットレジストリ(NIR)に割り振
  られたアドレスとは異なっており、その中の一部が移転されることで、逆
  引きDNSのゾーンの管理をAPNICで引き受けることができない、ということ
  が起き始めています。JPNICを含めて、NIRとAPNICでは状況を把握すると同
  時に、逆引きDNSのゾーンが管理しやすい形を模索するべく、相談を始めま
  した。

○NIRにおけるWHOISの実装

  WHOISサービスの問い合わせ応答の方式は、WHOISサーバによって仕様が少
  しずつ違っています。例えば、JPNICのWHOISサービスでは、問い合わせ文
  字列の末尾に「/e」を付けると、応答が英語になるようになっています。
  そのためWHOISクライアントは、問い合わせる先のサーバに応じて、動作を
  変える必要があります。一方、RDAP (Registration Data Access Protocol)
  (*1)では、応答の形式を揃えることができるとともにHTTPのリダイレクト
  機能を使って、割り振り状況に応じて、例えばAPNICからJPNICに問い合わ
  せをリダイレクトすることができます。

  RDAPの導入によって、WHOISのユーザーは、どのIPアドレスをどのWHOISサー
  バに問い合わせるべきかを意識しなくてよくなるため、利便性が上がるこ
  とが期待されます。ただ、NIRでRDAPのサービスをすぐに始められないとこ
  ろがあるため、APNICがNIRにおけるRDAPサービスの提供が始まるまでの、
  いわば過渡的な位置づけで、NIR管理下のIPアドレスについても、APNICで
  RDAPのサービスを行うことが考えられています。これにはNIRからAPNICに
  共有されている、英語のデータが使われます。

  (*1) インターネット用語1分解説「RDAPとは」
       https://www.nic.ad.jp/ja/basics/terms/rdap.html

○RPKI

  現在、CNNIC (China Internet Network Information Center)、TWNIC
  (Taiwan Network Information Center)、JPNICでAPNICのRPKIシステムに接
  続した、RPKIのサーバが稼働しています。その他に四つのNIRで、MyAPNIC
  のサブアカウントを使ったRPKIの取り次ぎサービスが行われています。た
  だ、歴史的PIアドレス等の一部については、リソース証明書が発行されて
  いないのが現状です。これを改善するには、割り振り状態を整理し、APNIC
  でリソース証明書を発行できるようにしていく活動が必要になってきてい
  ます(*2)。

  (*2) JPNICから割り振り・割り当てを受けているIPアドレスでリソース証
       明書が発行されない場合には、下記までお問い合わせいただければと
       思います。
       JPNIC RPKI担当 <rpki-query@nic.ad.jp>

  (参考資料) Core Registry & Related Services, George Michaelson, APNIC
             https://2019.apricot.net/assets/files/APKS756/core-registry-and-related-services-product-family-update.pdf


■ RPKIの用途の拡張

RPKIは現在、BGPsec(*3)のオリジン検証のために使われています。このRPKI
の用途を広げ、任意のデータに対する電子署名のために使えるようにする試
みが、APNICのサービスに関するセッションで紹介されました。

RTA (Resource-Tagged Attestation - リソースにタグ付けされた証明)と呼
ばれており、任意のデータにリソース証明書で検証可能な、電子署名を付与
するものです。APNICでは、PDFファイルなどをアップロードすると、CMS
(Cryptgraphic Message Syntax)形式の電子署名のデータがダウンロードでき
る、実験サーバが作られていました。

利用例の一つとして、そのIPアドレスの本来のアドレスホルダーであること
を示し、経路広告することを認める、LoA (Letter of Authorization)が紹介
されていました。IPアドレスの移転の際に、本来のIPアドレスの管理者であ
ることを示すデータとしても考えられています。BGPの接続を含めて代行する
クラウドサービスにおいて、ユーザーがIPアドレスを持ち込むBYOIP (Bring
Your Own IP Address)で利用できるのではないか、というアイディアでした。
詳しくは下記をご覧いただければと思います。

  RPKI RTAs, RDAP Mirroring
  https://2019.apricot.net/assets/files/APKS756/rpki-rtas-and-rdap-mirroring.pdf

(*3) インターネット用語1分解説「BGPsecとは」
     https://www.nic.ad.jp/ja/basics/terms/bgpsec.html

                  ◇              ◇              ◇

APRICOT/APNICカンファレンスには、今回ご紹介したようなプレゼンテーショ
ンの発表者と直接話をして事情を伺うことができるという(仕事上の)魅力が
あります。筆者(木村)もネットワーク運用者の観点や技術者の観点で、RPKI
やWHOISサービスのあり方などについて議論をしてきました。アジアの中の日
本、日本の中の自社が実施している事業を改めて考え直す機会になりました。
このメールマガジンに限らず、日本のインターネット運用に関わりそうなホッ
トな話題を、今後もお届けしていきたいと思います。

次回のAPNIC 48カンファレンスはタイ・チェンマイで、2019年9月5日から12
日まで行われます。


     ～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
          まわりの方にもぜひNews & Viewsをオススメください！
      転送にあたっての注意や新規登録については文末をご覧ください。
                  ◇              ◇              ◇
       わからない用語については、【JPNIC用語集】をご参照ください。
             https://www.nic.ad.jp/ja/tech/glossary.html
     ～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃     ◆◇◆◇◆   本号のご感想をお聞かせください   ◆◇◆◇◆     ┃
┃良かった                                                          ┃
┃  http://feedback.nic.ad.jp/1670/624c06359ec5ab5c4f7e6f4959940a25 ┃
┃                                                                  ┃
┃悪かった                                                          ┃
┃  http://feedback.nic.ad.jp/1670/4e9230240239ed81d3a6857c064a15c2 ┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  ::::: https://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 JPNIC News & Views vol.1670 【臨時号】

 ＠ 発行  一般社団法人 日本ネットワークインフォメーションセンター
          101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
 ＠ 問い合わせ先 jpnic-news@nic.ad.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
            本メールを転載・複製・再配布・引用される際には
        https://www.nic.ad.jp/ja/copyright.html をご確認ください
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
   ◇ JPNIC Webにも掲載していますので、情報共有にご活用ください ◇
登録・削除・変更   https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー     https://www.nic.ad.jp/ja/mailmagazine/backnumber/
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
■■■■■     News & ViewsはRSS経由でも配信しています！    ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

■■◆                          ＠ Japan Network Information Center
■■◆                                     ＠  https://www.nic.ad.jp/
■■

Copyright(C), 2019 Japan Network Information Center