メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

ニュースレターNo.42/2009年7月発行

Asia Pacific地域におけるリソース証明書とIRRの動向

概要

第27回APNICミーティングは、IPv6とIPv4アドレス移転の話題が大半を占めるミーティングでした。APOPS PlenaryやPlenaryでは、ISPにとってのIPv6の混在環境や、IPv6への移行によるアプリケーションやビジネスへの影響といったテーマでプレゼンテーションが行われました。オープンポリシーミーティングのフォーカスはIPアドレス移転に関するポリシーでした。

IPv4アドレスの在庫が枯渇する状況では、新規のユーザやサーバの接続性を維持するという課題のほかに、二つの課題があると言われています。

IPアドレスの移管や売買が行われるような状況で、そのアドレスの正しさをどのように担保するのかということと、その状況下でインターネット経路制御の正常な運用をどのように守るのかということです。

本稿では、これら問題の解決の糸口となると考えられている、「リソース証明書」と「IRR(Internet Routing Registry)」の動向をご報告します。

Asia Pacific(AP地域)におけるリソースPKIの動向

リソースPKI(以下、「RPKI」)は、IPアドレス等のアドレス資源の利用権利を示す「リソース証明書」の発行に使われるPKIです。APNIC、RIPE NCC、ARINが中心となって、2005年頃より技術的なアーキテクチャの検討が行われてきました。

APNICにおけるRPKIは、2008年にMyAPNIC※1に組み込まれて以来、APNICメンバーが実際にリソース証明書の発行を試せるようになっています。しかしIPアドレスの移転手続きにおいて具体的にどのように使われるのかは、いまだはっきりとしていません。

第27回APNICミーティングの3日目(2009年2月24日)に行われた、NIRテクニカルワークショップでは、APNICによる活動状況の報告とともに、NIR間の意見交換が行われました。

ワークショップの前半は、APNICにおける電子証明書に関する取り組みの紹介です。現在、APNICではリソース証明書の有効性をユーザー側で検証できるようにするプログラムの開発が行われています。またMyAPNICにおけるユーザー認証用電子証明書のシステムを改良し、ICカードまたはUSBトークンを採用することが検討されています。APNIC技術部門のマネージャーであるByron Ellacott氏によると、今後、RPKIとメンバー認証用の認証局を統合し、APNICにおいて認証局という仕組みの効率化が図られていく模様です。

続いて、NIRの間でリソース証明書に関する情報交換が行われました。TWNIC※2では、RPKIの動向調査が継続的に行われています。一方、NIDA(KRNIC)※3とVNNIC※4 はRPKIの整備を長期的な課題と捉えており、コミュニティでのディスカッション等は特に行われてはいないようです。CNNIC※5では、主担当の技術者がおり、RPKIに関するワークショップなどを開いている模様です。NIRの中では、CNNICが最も積極的に関わろうとしている印象を受けました。

ところで、RIPE NCCは2008年10月、リソース証明書の試験利用サイトである「certtest.ripe.net※6」を公開しました。2009年2月20日には、APNICが準備しているツールに該当する検証ツールが同サイトで公開されました。前回の第57回RIPEミーティングでは、IXにおけるリソース証明書の利用例がRIPE NCCによって示され、そして会場で課題点が議論されるなど、リソース証明書の利用方法に関する議論はRIPE地域が一歩先を行っている印象を受けます。

APNIC IRR

第27回APNICミーティング期間中、APNICによってIRRのチューリアルが開かれました。筆者がAPNIC IRRのチュートリアルに参加するのは今回が初めてです。

APNICにおけるIRRは、2002年頃から運用されています。mntnerやmnt-lower等、RPSL(Routing Policy Specification Language)の仕様はRIPE NCCと共通しており、APNICのリソース管理システム(Resource Management System)とは別のシステムでありながら、一部連動しているという特徴があります。

その連動は、大きく分けて二つあります。一つ目はmntnerが共通していることによる連動です。APNIC IRRでは、リソース管理システムにおけるメンバー情報であるmntnerと、APNIC IRRのmntnerが共通しています。すなわちリソース管理システム経由で登録されたmntnerを、APNIC IRRの登録にも使うことができます。これは、IPレジストリシステムとIRRの管理情報が独立しているJPIRRとは大きく異なります。

APNICによるIRRチュートリアルの様子
APNICによるIRRチュートリアルの様子

二つ目は1次割り振りの登録に関する連動です。APNICメンバー(LIR)に対して割り振られたIPアドレスは、inetnumオブジェクトやinet6numオブジェクトとして、APNIC IRRに自動的に登録されます。1次割り振りのIPアドレスは自動的に登録され、再割り振りやrouteオブジェクトについては、割り振り先組織による任意登録となっています。つまり、APNICからの割り振りを示すinetnumオブジェクトやinet6numオブジェクトは、リソース管理システムを通じて自動的に登録され、LIRやmnt-lower等で指定された組織が登録するrouteオブジェクトは、APNIC IRRを通じて登録される仕組みになっています。

チュートリアルの講演者のAPNIC Amante Alvaran氏によると、APNIC内部では、リソース証明書はIRRに代替するものと考えられており、IRRをやめることが検討されているそうです。しかしチュートリアルでは、IRRだけが有する特性として以下のような説明がありました。リソース証明書では実現できないこれらのIRRの機能性が失われることについては、APNICでも代替案を見いだせていない、あいまいな状態にあるようです。

チュートリアルで説明されたIRRだけが有する特性:

  • デバイス非依存の経路制御に関する情報を保存できる
  • 隣接するASの情報を調べられる
  • ネットワーク計画に利用できる
  • 経路フィルタの生成に使用できる
  • IRRToolSetを使った設定ができる
  • ネットワークの障害対応に利用できる

なお、同じチュートリアルに参加していたLACNICのRoqueGaliano氏によると、現在、LACNICはIRRを運用していないが、今後立ち上げることが検討されているようです。


IPアドレスの移転が行われるようになると、電子的に有効性が検証できる形でIPアドレスの利用権利を示すもの、すなわちリソース証明書の重要性が高まると言われています。もしリソース証明書が普及すると、JPNICとIP指定事業者が行っているIPアドレス管理業務にも大きな変化があるかもしれません。

一方、日本を除くAP地域では、NIRでIRRが運用されておらず、インターネット経路制御のセキュリティはリソース証明書で守るものだと考えている方がいるようです。

果たしてRPKIは、何を担保し、インターネットの運用にどう役立てるものなのか、そしてその中でレジストリが果たす役割はどうなっていくのか、まだ明らかにはなっていない状態のようです。

次回の第28回APNICミーティングは、2009年8月24日から28日まで、中国の北京で行われます。

(JPNIC インターネット推進部 木村泰司)


※1 MyAPNIC
http://www.apnic.net/services/myapnic/
※2 Taiwan Network Information Center
http://www.twnic.net.tw/
※3 National Internet Development Agency of Korea
http://www.nida.or.kr/
※4 Vietnam Internet Network Information Centre
http://vnnic.vn/
※5 China Internet Network Information Center
http://www.cnnic.net.cn/
※6 RIPE NCC Resource Certification
https://certtest.ripe.net/

このページを評価してください

このWebページは役に立ちましたか?
よろしければ回答の理由をご記入ください

それ以外にも、ページの改良点等がございましたら自由にご記入ください。

回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2024 Japan Network Information Center. All Rights Reserved.