ニュースレターNo.41/2009年3月発行
第57回RIPEミーティング報告
本稿では、アラブ首長国連邦(UAE)のドバイで開かれた、第57回RIPEミーティングの様子を報告します。
経済発展で知られるドバイは、インドの人をよく見かける国際的な都市です。道路工事やビルの建設が至るところで行われており、夜も電気がついている工事中のビルの間を、スピードを出したタクシーで走り抜けると、急成長するドバイ特有の、静かな熱気のようなものを感じます。
RIPEでは、割り振り済みのPAアドレスに対するリソース証明書のポリシーについての議論が始まりました。仮にIPアドレスの移転が行われるようになっても、正しいIPアドレスの情報をレジストリが担保することが、インターネットの運用に不可欠であるという考え方が背景にあります。この提案は、これまでに何度か活動を紹介した、RIPE NCC CATask Force(CA-TF)によるものです。
ミーティングの概要
第57回RIPEミーティングは、2008年10月26日(日)~30日(木)に行われました。ドバイでは金曜日と土曜日が週末であるため、1日繰り上げたスケジュールになっています。
参加登録者数は380名でした。最も多かったのがアラブ首長国連邦からで、55名(15%)でした。次いでドイツが39名(10%)、アメリカが37名(10%)で、日本からは9名(2%)でした。RIPE NCCでは、できるだけさまざまな地域でミーティングを開くようにしており、アムステルダムに来ることができない人でも、ミーティングに参加しやすいようにしているそうです。オランダのアムステルダムにはRIPE NCCのオフィスがあり、毎年5月のRIPEミーティングが開催されています。
開催地からの参加者は、通常よりも多い傾向があることから、RIPE NCCの配慮はある程度功を奏しているように思われます。ただし、2位以降は割合の構成が似ており、参加を検討する側には、“国内で開催されれば参加できるが、距離が離れていない隣の国であっても、国外だと参加できない”という状況がありそうです。
週の前半は参加者全員が集まるPlenaryで、火曜日を中心にAddress Policy WGが行われました。後半はEIXやDNS、DatabaseといったWGが、二つの会場で並行して開かれました。
Plenary
Plenaryでは、ローカルホスト企業からのプレゼンテーションや、各RIRの最新状況についての紹介、IETF等でのIPアドレスやAS番号に関連した議論の紹介などが行われます。
今回のローカルホスト企業は、アラブ首長国連邦の通信会社であるEtisalat社で、タイやニューヨークにBGPのピアが張られているバックボーンの状況や、特定のSNSのトラフィックが1.5Gbpsを超えており、トラフィックシェイピングを検討していることなどが紹介されました。また、UAEで結成されているIPv6 Task Forceに参加し、政府や通信事業者と連携を図っていることなどについてプレゼンテーションが行われました。
興味深かったのは、最終日のPlenaryで行われた、Google社のLorenzo Colitti氏によるプレゼンテーションです。Googleの検索結果のページにIPv6のサーバにもアクセスする仕掛けを設け、クライアント側のIPv6の利用状況を調査しました。主な結果を以下に示します。
- 全ユーザー中の0.238%にIPv6の到達性がある
- IPv6の利用方法としては、6to4が最も多く、全体の67.9%を占める
- アメリカとカナダでは95%が6to4を利用しており、逆にフランスでは95%がnative接続である
- IPv6の到達性がある中で、使われているOSはMacOSが最も多く、次にLinux、Windows Vista、Windows Server 2003の順である
クライアント側のIPv6の利用状況を具体的に調査した事例が少ないことから、会場ではこの調査と結果の公表に対して、拍手が送られていました。
また、日本からはインターネットマルチフィード株式会社の外山勝保氏が、日本におけるIPv6トラフィックの量について紹介しており、こちらも「日本におけるIPv6の現状を正確に伝えているプレゼンテーションである」として評価を受けていました。
リソース証明書に関するポリシーとデモ
リソース証明書については、Address Policy WGとNCCServices WGで議論が行われました。
Address Policy WGでは、リソース証明書の発行に関する初めてのポリシー提案があり、リソース証明書の失効が意味する「IPアドレスの返却」などについて議論されました。
- □Initial Certification Policy for Provider AggregatableAddress Space Holders
- http://www.ripe.net/ripe/policies/proposals/2008-08.html
提案は、PAアドレスに対するリソース証明書の発行です。RIPE NCCにおけるメンバーの契約に紐づく有効性を持っており、LIRの契約が切れると発行済みのリソース証明書が失効します。また、有効期限は18ヶ月とされており、更新されなければ無効になります。つまりIPアドレスに有効期限ができるということです。IPアドレスが自動的に返却されるような仕組みとして考えることができますが、この議論は分けた方がいい、という意見が出ていました。
一方、NCC Services WGは、RIPE NCCのサービスに関するWGです。RIPE NCCでは、リソース証明書とROA(Route Origination Authorization)の管理を体験できるデモプログラムを開発し、Webアプリケーションとして公開しています。NCCServicesでは、このデモプログラムの紹介が行われました。
このデモプログラムは、RIPE NCCから割り振られているPAアドレスを含めたリソース証明書を発行することができます。RIPEのメンバーでないユーザーには、試験用のIPアドレスが用意されており、簡単な登録で利用できます。
さらにこのデモプログラムは、IPアドレスとOriginASの番号が入ったROAを生成することができ、それらを鍵ペアと連携させて管理する機能も持っています。例えば、鍵ペアを更新した後に、ROAを全て発行しなおすことができます。
- □RIPE NCC Resource Certification
- https://certtest.ripe.net/
RIPE NCCのTim Bruinzeels氏は、リソース証明書とROAのメリットとして、以下の二つを挙げていました。
- ISPが経路広告の要望を顧客から受けたときに、その顧客が正しくIPアドレスの割り当てを受けているかどうかを確認できる
- WHOISの登録情報はRIR毎に異なるが、リソース証明書はグローバルスタンダードである
会場では、以下の三点について議論されていました。
- リソース証明書の失効
リソース証明書が失効すると、インターネット経路制御に即座に影響が出てしまうのかどうかの確認とその対策に関する議論 - 国ごとの法律の違いによる問題
リソース証明書で使われる暗号アルゴリズムや、法制度の中での、証明書の有効性が国によって異なってしまうことの指摘 - Webアプリケーションであるために生じる鍵ペアの安全性
RIPE NCCが提供している利用実験は、Webサーバ上に生成された鍵などの一切が保存される。鍵の信頼性はこれで担保できるのか、という議論。RPKI(Resource PKI)は、技術的にユーザ側に鍵を持たせることができるが、現行の利用実験ではそれができない
リソース証明書の実験提供は始まったばかりですが、デモプログラムや、紹介ビデオによって参加者の関心が集まり、具体的に論点が挙がり始めたかたちとなりました。
(RIPEコミュニティに対する、RIPE NCCの位置づけが、 参加者に分かりやすいように、 RIPEミーティングでは必ず掲示されています)
IRRにおける4バイトAS番号対応
Routing WGでは、元RIPE NCCで、現在はISCに所属するShane Kerr氏によって、IRRToolSetの近況が紹介されました。
4バイトAS番号については、パッチの存在は確認されているものの、本体への組み込みはまだされていないそうです。コミュニティを構成して開発しているため、作業してくださる方を募集している、とのことでした。
- □IRRToolSet
- http://irrtoolset.isc.org/
ドバイの街中でインターネットカフェを何軒か見かけました。オランダのアムステルダムでインターネットカフェというと、電飾のついた暗めの電気屋さんといった雰囲気なのですが、ドバイで見たインターネットカフェは、立派で小さなオフィスのようでした。
革張りの椅子が並んでいて、店内の照明は落ち着いた暖色です。日本の少し高級なインターネットカフェに似たところがありますが、店内にポスター等は張られておらず、やや厳かな雰囲気です。これは宗教上の理由からかもしれません。街中のインターネット環境に、ドバイらしさを見つけた気がしました。
(JPNIC 技術部/インターネット推進部 木村泰司)
