ニュースレターNo.30/2005年7月発行
IPアドレス認証局:
調査研究とシステム開発について
JPNIC インターネット基盤企画部●木村 泰司
2002年度から2004年度までの3年間、"IPアドレス認証局"と題して、JPNICにおける認証局(以下、CAと呼ぶ)について調査研究を行ってきました。この調査研究は経済産業省からの受託事業であり、JPNICにおけるセキュリティ事業の準備活動でもあります。この調査研究では、アドレス資源の保護と応用のための認証局のあり方を明らかにし、その認証局の構築を行いました。また将来のインターネットで必要な電子認証についての調査も行いました。本稿では3年間の活動の概要と成果物を紹介します。
IPアドレス認証局に関する調査研究
IPアドレス認証局は、JPNICに登録されているIPアドレスなどのアドレス資源の情報を使う認証局です。この調査研究は当初IPアドレスの入った電子証明書を手がかりとして始まりましたが、検討を進めることで下の二つのテーマが固まってきました。
・JPNICでCAを立ち上げ、アドレス資源の管理をセキュアにすること
・将来のインターネットで必要となる電子認証の構想
一つ目は、日本のインターネットレジストリであるJPNICがCAを運用し、登録情報の管理をよりセキュアにするにはどのような認証をすればいいのか、というテーマです。その次に、ネットワーク情報などのJPNICの登録情報に基づいた電子証明書を使うことで、将来、様々な機器がIPで通信できるようになった時に、どのような認証ができるようになるのか、というのが二つ目のテーマです。
JPNICにおけるCAの立ち上げのための調査研究
これは一つ目のテーマの調査研究です。JPNICにおけるCAとは何か、又どうあるべきか、という観点から始まりました。
CAとは、公開鍵暗号を使った認証技術であるITU-TのX.509※1、IETFのRFC3280※2で定義されている機関で、認証対象であるユーザやサーバに電子証明書を発行する役割を持っています。電子証明書はWWW(World Wide Web)におけるサーバ認証やクライアント認証(ユーザの認証など)などに使われています。ICカードに電子証明書を入れ、オンラインで使えるような社員証や学生証を検証する仕組みとして使われるケースもあるようです。当然のことながら、電子証明書を発行するCAの運用はセキュアに行うことが重要です。
JPNICのCAを検討するにあたり、はじめに、IP指定事業者などの情報登録を行うユーザのアカウント管理について調査しました。JPNICやほとんどのRIR(Regional Internet Registry)※3では、MAIL-FROMと呼ばれる本人特定方式が長い間使われていました。これに置き換わるより強い認証の仕組みが必要とされており、RIPE NCC やAPNIC、ARINといったRIRで電子証明書を使った認証が導入されつつあります(2003年度報告書 第3章)。
アドレス資源の管理業務におけるユーザアカウントの管理は、レジストリごとに行われています。これはアドレス資源の管理が自律的であるのと同様に不可欠なものと言えます。そしてレジストリ同士が情報の連携を図り、WHOISサービスなどを実現しています。従って、個々のユーザアカウントを一元的に管理するようなモデルとは異なるモデルが必要となりました(2003年度報告書 第4章)。
一方、認証強化の必要性を明らかにするため、登録者のなりすまし行為がインターネットの運用にどのような影響を及ぼすかの調査をしました。登録情報が不正に書き換えられると、不正な経路広告を見つける事が難しくなります。すると大規模なネットワークの利用不能攻撃が行われてしまった場合に、攻撃パケットの発信源を特定したり被害を抑えたりする活動が難しくなってしまう、といった状況がわかりました。これについては2002年度の調査報告書の第2章で述べています。
これらの調査結果を元に、専門家チームを編成して、JPNICの登録情報の管理システムであるIPレジストリシステムにおける情報登録者の認証モデルを検討しました。更に認証局のプロトタイプシステムの開発を行いました。また認証局の業務規程であるCPS(Certification Practice Statement)の初版を作成しました。認証局の運用の基本的な準備が整ったため実験運用を始めています。
将来のインターネットで必要となる電子認証の調査研究
これは二つ目のテーマの調査研究です。将来、電話や家庭の電化製品をはじめ様々な機器がIPで通信を行う可能性があります。また地域放送や、緊急通信、交通情報のネットワークなどでIPが使われ、高度な情報処理に基づくネットワーク・アプリケーションが作られる可能性があります(図1参照)。社会的なインフラとしてIPのネットワークを利用するためには、その安全性の確保が重要な課題です。認証をはじめとするネットワーク・セキュリティをどう実現するか、という検討を始める必要があります。
電子認証の技術は、部分的にしか運用方法が明らかになっておらず、どのように適用したらいいのかわからないことがあります。
電子証明書は認証の為の汎用的な仕組みで、OSIの参照モデルで言うアプリケーション層からデータリンク層までの、様々な通信で利用されています。しかし、この事は「何を認証するのか」の定義ができていないと安全性の向上に効果を発揮しないことを意味します。またインターネットを使う通信の"認証ドメイン"の考え方が確立していない状況があります。例えば、他社の社員との業務上のやりとりで、電子証明書を使ってオンラインの認証を行う場合、その電子証明書はどのCAから発行されるのが妥当なのでしょうか。この疑問にはまだ答えがありません。
これらの課題に対して、この調査研究では二つのアプローチをとりました。一つ目は将来のネットワーク社会を想定して、すべてのIPノードやユーザを電子証明書を使って認証するモデルを構想する、大きな捉え方のアプローチです。二つ目はJPNICに登録されている情報に基づいて電子証明書を発行した場合の利用可能性を調査する、シーズ志向のアプローチです。
前者は2003年度の調査報告書の第7章にまとめました。調査の結果、多種多様な機器をIPのネットワークに繋いで連動させていく仕組みが今の段階では明確にできないため、結論を出すことはできませんでした。しかし電子証明書を使ってIPノードに付加情報を持たせることが、家電や監視カメラ等、ネットワークの設定を行わないような機器の認証に有効であることがわかりました。
後者は利用用途の候補を挙げるにとどまりました。例えば、登録されているネットワーク情報とAS情報を、経路情報を交換するルータ同士の認証に使うことが考えられます。この観点から、X.509形式の証明書にIPアドレスの範囲とAS番号を入れる書式[RFC3779※4]を使い、soBGP※5やS-BGP※6における利用可能性と運用方法を調査しました。soBGPやS-BGPは、経路情報の交換を行うプロトコルであるBGPに認証機構を付加したもので、不正な経路情報の交換を防ぐための仕組みを持っています。
二つ目のテーマについては、具体的な認証局の構築につなげられるよう、2005年度以降も継続して活動を行いたいと思います。
活動の成果
前述の通りこの調査研究は経済産業省からの受託事業です。その成果物として調査研究の報告書を毎年まとめてきました。この報告書は調査研究のページ※7からダウンロードできます。本調査研究の検討資料は、JPNICのCAのためだけでなく、一般的な自社CAの構築や電子証明書の利用検討に役立つと考え、これを報告書に盛り込み、公開できるように活動してきました。
検討資料として他の事例でも利用できそうなものにCPS(Certification Practice Statement:認証業務規程)に関するものがあります。認証局を構築する場合、既存の業務の認証の側面をうまく切り出し、PKIのモデルに当てはめていく必要があります。そのための資料としてRFC3647※8がありますが、このRFCは項目の説明に留まっており、何を検討すべきかについては言及されていません。報告書に含まれるこの資料が、業務活動の一環としての認証局を検討する際にお役に立てればと思います。
●認証業務規程に関する調査
CPSの策定に先立ち、本調査研究では、どの程度のCPSにすればよいのかを調査するため、WebTrust for CA、特定認証業務のための認証局監査のガイドライン、ECOM※9の認証局運用ガイドラインの三つの比較を行いました(2002年度報告書のAppendix)。次に専門家チームの打ち合わせを通じて業務モデルを作り、RFC3647を利用してCPSのドラフト版を策定しました(2003年度報告書の第5章)。2004年度は実運用の状況を元に、CPSの更新作業を行いました(2004年度報告書の第6章)。
●インターネットセキュリティと認証技術の動向調査
この他にインターネットセキュリティと認証の動向調査と題して、IETFにおけるプロトコルのドキュメント化状況や、NANOG※10ミーティングの動向などについてもまとめました。部分的にしか述べられなかったものもありますが、ご参照頂ければ幸いです。
●証明書管理システム
一方、この調査研究の過程でCAシステムの開発を行いました。このシステムは実験用のプロトタイプシステムでIP指定事業者などの情報登録者が実際に使うことができるものです。JPNICの登録情報の管理システムであるIPレジストリシステムと連動することができ、クライアント証明書をIP指定事業者などの情報登録者側で管理できるようになっています(図2参照)。
●認証用証明書の応用
このクライアント証明書は、IPレジストリシステムのWebインターフェースを通じた各種申請業務で使えるようになっています。また割り当て情報の登録をより効率的に行うための"Webトランザクション"(2004年度の報告書の第7 章)で使うための検討と実装が進められています。Webトランザクションは、httpsを使ってIPレジストリシステムとデータをやりとりし、割り当て情報の一括登録といった機能を実現するための仕組みです。
今後の活動
今後は、まず本調査研究の成果である情報登録者用のクライアント証明書の普及を図りたいと思います。また登録情報に基づく電子証明書(ホスト証明書やルータの証明書など)の調査研究も継続して行います。
2005年度より新たに経済産業省より「電子認証フレームワーク」に関する調査研究を受託することになりました。これは社会的な電子認証を構築するのためのオープンなガイドライン策定の仕組みを構想する調査研究です。企業活動における電子認証や、教育機関における電子認証、医療分野における電子認証といった、電子認証の実用面の調査研究を進める予定です。これらと平行して、前述した登録情報に基づく電子証明書を利用できるようにしていきたいと思っております。
これらの調査研究の一環で、IETFにおけるドキュメント化の動向や他国の電子認証に関する動向等について、今後も皆様と情報共有できればと考えております。コンファレンスの場などでお会いすることがありましたら、よろしくお願い致します。
3年間の調査研究の中で、多くの方にご協力を頂きました。この場を借りてお礼申し上げます。また、今後ともよろしくお願い致します。
- ※ 1 ITU-T X.509
- The Directory: Public-key and attribute certificate frameworks
- ※ 2 RFC3280
- Internet X.509 Public Key Infrastructure
Certificate and Certificate Revocation List(CRL)Profile
http://www.ietf.org/rfc/rfc3280.txt - ※ 3 RIR: Regional Internet Registry
- 特定地域内のIPアドレスの割り当て業務を行うレジストリ。現在、APNIC、ARIN、RIPE NCC、LACNIC、AfriNICの5つがある。JPNICのIPアドレスの割り当て業務は、APNICの配下で行っている。
- ※ 4 RFC3779
- X.509 Extensions for IP Addresses and AS Identifiers
http://www.ietf.org/rfc/rfc3779.txt - ※ 5 soBGP
- ftp://ftp-eng.cisco.com/sobgp/
- ※ 6 S-BGP
- http://www.net-tech.bbn.com/sbgp/sbgp-index.html
- ※ 7 調査研究
- http://www.nic.ad.jp/ja/research/
- ※ 8 RFC3647
- Internet X.509 Public Key Infrastructure
Certificate Policy and Certification Practices Framework
http://www.ietf.org/rfc/rfc3647.txt - ※ 9 ECOM : 次世代電子商取引推進協議会
- http://www.ecom.or.jp/
- ※10 NANOG: The North American Network Operators' Group
- インターネットにおける技術的事項、およびそれにまつわるオペレーションに関する事項を議論、検討、普及を行う場