━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ __ /P▲ ◆ JPNIC News & Views vol.1709【臨時号】2019.8.27 ◆ _/NIC ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ◆ News & Views vol.1709 です ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 2019年7月下旬に、カナダ・モントリオールにて第105回IETFミーティングが 開催されました。この会合のレポートを、vol.1708より連載にてお届けしま す。連載第2弾となる本号では、IoT機器を安全にネットワークに繋ぐための 仕組みであるMUDについて、ハッカソンでの取り組みを交えてご紹介します。 次号以降では、プライバシー、トランスポートに関連した各分野の動向をご 紹介する予定です。また、vol.1708でお届けした全体会議のレポートについ ては、下記のURLからバックナンバーをご覧ください。 □第105回IETF報告 ○[第1弾] 全体会議報告 (vol.1708) https://www.nic.ad.jp/ja/mailmagazine/backnumber/2019/vol1708.html なお、本モントリオール会合のオンサイトでの報告会を、今週8月30日(金)に 東京・大手町プレイスウエストタワーにてISOC-JPとJPNICの共催で開催しま す。ご興味を持たれた方は、こちらの報告会にもぜひご参加ください。 IETF報告会(105thモントリオール)開催のご案内 https://www.nic.ad.jp/ja/topics/2019/20190822-01.html ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ◆ 第105回IETF報告 [第2弾] IoT関連報告 MUDとHackathon ~IoT機器の安全なネットワーク接続~ セコム株式会社 IS研究所 瀧田悠一 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 2019年7月20日(土)から26日(金)にかけて、カナダ・モントリオールで開催さ れたIETF 105にて、20日(土)と21日(日)の2日間、Hackathonが開催されまし た。Hackathonは、開発者が集まって議論や協調を促進することで、コードの 作成や機器の動作などを実際に行ってみるイベントです。本稿では、 Hackathonにおいて筆者が開発に参加したMUDの概要と、Hackathonで取り組ん だことについてご紹介します。 ■ MUDとは MUD(*1)とは、「Manufacturer Usage Description」の略称です。IoT (Internet of Things)機器の安全なネットワーク接続の仕組みについて、 OPSAWG(*2)にてドラフトが議論され、2019年3月にRFC 8520として発行されま した。 (*1) RFC 8520 - Manufacturer Usage Description Specification https://tools.ietf.org/html/rfc8520 (*2) Operations and Management Area Working Group (opsawg) https://datatracker.ietf.org/wg/opsawg/about/ IoT機器をネットワークに接続する際の課題として、悪意のある機器が同一の ネットワークに接続された場合、正常なIoT機器が攻撃を受けるという課題が あります。例えば、IoT機器が攻撃を受けて攻撃者に乗っ取られてしまうと、 特定のサービスに大量のデータを送りつけることで正常稼働できない状態に させる、DDoS攻撃(Distributed Denial of Service attack)に悪用されてし まう危険性があります。 MUDが規定するアーキテクチャでは、IoT機器について、機器のメーカーまた はシステムインテグレーターの意図する通信だけを許可するように、同一の ネットワークに設置されたMUD Managerと連携して、ネットワーク内の通信を 制御します。具体的には下記の手順により、IoT機器が機能を実行するために 必要な送受信のルール(通信ポリシー)を、MUD Managerがネットワーク機器に 設定します。 1) IoT機器の通信ポリシーを規定のフォーマットでファイル(MUD File)に記述 2) MUD Fileをサーバ(MUD File Server)に設置し、アドレス(MUD URL)を決定 3) IoT機器をネットワークに接続した際、DHCPなどを利用してMUD URLを発行 4) MUD ManagerがMUD URLを受信し、URLを参照してMUD Fileをダウンロード 5) MUD ManagerがMUD Fileの通信ポリシーに従い、ルータやスイッチを設定 以上のように、MUDではIoT機器をネットワークに接続すると、自身の通信ポ リシーが記述されたMUD FileのURLを、自動的に発行します。そして、MUD ManagerがMUD Fileを参照することで、IoT機器に対して許可された通信だけ を送受信するように、ネットワーク機器を自動的に設定することができます。 この仕組みにより、通信ポリシーが適用されたネットワーク機器によって、 悪意のある機器が正常なIoT機器と通信することを防ぐことや、仮にIoT機器 が乗っ取られたとしても、許可されていない宛先と通信することを防ぐこと が可能になります。 RFC 8520に準拠するMUD Managerの実装については、現在も複数の実装が進行 中であり、IoT機器やネットワーク機器との相互運用性についても検証が進め られています。その一環として、IETF 105ではMUDをメインのテーマとする Hackathonのプロジェクトが初めて企画され、筆者らはそのプロジェクトにIoT 機器を持ち込んで参加しました。 ■ IETF 105 Hackathonの概要 Hackathonへの参加は、企画されているプロジェクトに加わるか、自らプロ ジェクトの主催者(Champion)になることで行います。当日の流れとしては、 1日目は8:30から22:00まで、2日目は8:30から13:30まで開発に取り組みます。 そして最後に、各プロジェクトがHackathonで取り組んだことの成果発表を行 い、終了となります。 今回の現地参加者は280人、プロジェクトの総数は42と、多くのプロジェクト が開催されました。IETF 105全体の現地参加者が1,079人であったため、約2 割半の人がHackathonに参加していたことになり、高い関心を集めていること が分かります。 ■ HackathonにおけるMUDプロジェクト ○MUDプロジェクトで取り組んだこと MUDプロジェクトの参加者は14人、そのうちHackathonの初参加者は8人でし た。まず1日目の朝に、集まった参加者で開発目標を共有しました。全体の開 発目標は、主に次の三つです。 1) MUD Makerの実装 2) MUD Managerの実装 3) MUD URLを発行するIoT機器の実装と相互運用性の検証 1)では、Webページ上で必要な項目を埋めることで、MUD Fileを自動的に作成 することができる、MUD Makerの作成に取り組みました。MUD Fileは、IoT機 器の通信ポリシーを、YANG(*3)ベースのJSONファイルとして記述したファイ ルであり、これを人手で作成するのではなく、MUD Makerに必要事項を記入す るだけで、容易に作成できるようにすることが目的です。 (*3) RFC 7950 - The YANG 1.1 Data Modeling Language https://tools.ietf.org/html/rfc7950 2)では、IoT機器が発行するMUD URLの受信、および、MUD URLからダウンロー ドしたMUD Fileに従ってネットワーク機器に設定を行う、MUD Managerについ て実装に取り組みました。今回のHackathonでは、主に2種類のMUD Manager、 Cisco社の実装とNIST (National Institute of Standards and Technology) の実装について、取り組みが行われました。 3)では、IoT機器の通信ポリシーを記述するMUD Fileの作成、および、MUD URL をIoT機器が発行できるように、実際の開発ボードへ実装することに取り組み ました。RFC 8520では、IoT機器をネットワークに接続した際、MUD URLを自 動的に発行できるようにするため、DHCPやLLDP (IEEE802.1AB Link Layer Discovery Protocol)を利用する方法が規定されています。これを実機で動作 させることで、MUD Managerとの相互運用性を検証することが目的です。 筆者らは3)に取り組み、NXP Semiconductors社の開発ボード、FRDM-K64F(*4) を持ち込んで開発を行いました。 (*4) FRDM-K64F Platform https://www.nxp.com/design/development-boards/freedom-development-boards/mcu-boards/freedom-development-platform-for-kinetis-k64-k63-and-k24-mcus:FRDM-K64F ○Hackathonで直面した問題と参加者との協力による対処 Hackathonでは、最初の想定とは異なる事態がしばしば発生しますが、今回の MUDプロジェクトでも同様に発生しました。筆者らは当初、IoT向けリアルタ イムOSであるZephyr OS(*5)において、LLDPを利用してMUD URLを発行する計 画を立てていました。しかし、Hackathonが開始され、MUD Managerの実装担 当者と会話すると、現在の実装ではLLDPには対応しておらず、DHCPによるMUD URLの発行にしか対応していない状況であると判明しました。 そこで筆者らは急遽、DHCPによるMUD URLの発行へと実装計画を変更しまし た。具体的には、Zephyr OSのDHCP部分を修正し、MUD URL発行用のDHCP Option (code=161)を送信できるように、新しい実装を追加しました。そし て、実装を完了した開発ボードをMUDプロジェクトのテスト用ネットワークに 接続し、参加者と協力してパケットキャプチャした結果を解析しました。そ の結果、MUD URLが正しく発行されていることを確認できました。 最終的に、筆者らの開発ボードが発行するMUD URLについて、2種類のMUD Managerが解釈できることを確認し、IoT機器とMUD Managerとの相互運用性を 検証することができました。Hackathonで得られたMUDプロジェクトの詳細な 成果については、成果発表のプレゼンテーション(*6)をご覧ください。 (*5) Zephyr Project https://www.zephyrproject.org/ (*6) IETF Hackathon: MUD and Onboarding https://github.com/IETF-Hackathon/ietf105-project-presentations/blob/master/hackathon-presentation-ietf105_mud_onboarding.pdf ■ おわりに IoT機器を安全にネットワークへ接続する技術は、リソースに制限のあるIoT 機器のセキュリティを確保するためには、とても重要な技術です。特に、大量 のIoT機器が接続されるネットワークでは、個々のIoT機器の通信ポリシーを人 手によってルータやスイッチに設定していくことは、ヒューマンエラーの観点 からも効率的ではありません。MUDを利用することで、IoT機器をネットワー クに接続するだけで、許可された通信のみを有効にする設定が、ネットワー ク機器へ自動的に適用されます。 今回のHackathonへの参加では、他の参加者と協力したことでRFCの正しい実 装に関する知見を得ることができ、また、RFCの著者やRFCの実装に取り組む 方々と繋がりを得ることもできました。加えて、相互運用性の検証を通じて、 複数の実装に対し、特定の機器や環境が対応できることを実証できました。 今後もHackathonなどを通じて、相互運用可能な技術を検討していくことで、 IoT機器の安全なネットワーク接続に関するツールやサービスを共通化するこ とができ、さまざまなIoT機器に対して本技術を適用できるようになることが 期待できます。 最後に、筆者の今回の活動の一部は、一般社団法人情報通信技術委員会によ る助成を受けて行ったものです。助成の目的と内容については、公募に関す るWebページ(*7)をご覧ください。 (*7) 2019年度「IoT/BD/AI時代に向けたデジュール及びフォーラム標準に関 する標準化動向調査」調査者の募集 https://www.ttc.or.jp/topics/20190411 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ まわりの方にもぜひNews & Viewsをオススメください! 転送にあたっての注意や新規登録については文末をご覧ください。 ◇ ◇ ◇ わからない用語については、【JPNIC用語集】をご参照ください。 https://www.nic.ad.jp/ja/tech/glossary.html ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ┃ ◆◇◆◇◆ 本号のご感想をお聞かせください ◆◇◆◇◆ ┃ ┃良かった ┃ ┃ https://feedback.nic.ad.jp/1709/6a325b2029acdc825138505e527d20c9 ┃ ┃ ┃ ┃悪かった ┃ ┃ https://feedback.nic.ad.jp/1709/ae7ede99e5fe57211db8d80595d089e7 ┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ ___________________________________ ■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■ ::::: 会員リスト ::::: https://www.nic.ad.jp/ja/member/list/ :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有) □┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□ ┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ JPNIC News & Views vol.1709 【臨時号】 @ 発行 一般社団法人 日本ネットワークインフォメーションセンター 101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F @ 問い合わせ先 jpnic-news@nic.ad.jp ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ___________________________________ 本メールを転載・複製・再配布・引用される際には https://www.nic.ad.jp/ja/copyright.html をご確認ください  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ◇ JPNIC Webにも掲載していますので、情報共有にご活用ください ◇ 登録・削除・変更 https://www.nic.ad.jp/ja/mailmagazine/ バックナンバー https://www.nic.ad.jp/ja/mailmagazine/backnumber/ ___________________________________ ■■■■■ News & ViewsはRSS経由でも配信しています! ■■■■■ ::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ■■◆ @ Japan Network Information Center ■■◆ @ https://www.nic.ad.jp/ ■■ Copyright(C), 2019 Japan Network Information Center