ニュースレターNo.54/2013年7月発行
ルーティングセキュリティに関する取り組みの強化について
日本の国別インターネットレジストリ(NIR)であるJPNICでは、IPアドレスレジストリとしてルーティングセキュリティに関連する取り組みを実施しており、その一環としてIRRサービスであるJPIRRを運用しています。
ルーティングセキュリティ技術であるリソースPKI(RPKI)への関心が高まりつつある中、JPNICでは今後のJPIRRの方針決定に役立てることを目的として、各種のIRRサービスやRPKIサービスの動向を調査するための専門家チームを発足させました。
また、多くの技術者の方々に、実際にRPKIの実装に触れていただく機会を設けるために、RPKIの実装を試す会合として「RPKIハッカソン」を開催いたしました。
本稿では、JPNICのルーティングセキュリティ向上に関する活動として、この専門家チームの活動とRPKIハッカソンについてご紹介します。
IRR・RPKI動向調査専門家チーム活動開始
IRR・RPKIを取り巻く現状~専門家チーム発足の背景~
IPアドレスレジストリが提供するルーティングセキュリティに関連するサービスとしては、これまで、「IRR」がルーティング運用者の間で広く活用されてきました。最近になってこのIRRに加えて、「RPKI」の活用についても、ルーティング運用者の一部で関心が高まっています。
RPKIとは、IPアドレスやAS番号の入った電子証明書をレジストリが発行する仕組みで、IPアドレスやAS番号が正しく割り振られたものであることを、プログラムを使って確認できるようにする技術です。五つの地域インターネットレジストリでは既にRPKIが(実験を含めて)提供されており、今後BGPを使ったインターネット経路制御で、不正な経路情報を検知するために役立つと考えられています。
JPNICでは、JPIRRの運営やRPKIの調査研究を継続してきました。JPIRRは、実験サービスを経て2006年に正式サービスがスタートして、今年で7年目となりました。現在は、サービススタート当初には想定していなかった活用事例に加えて、機能面での改善要望など、JPNICとしてもルーティングオペレーターの意向に沿った改善も必要である時期にさしかかっています。
また、RPKIについては、
- PKIの仕組みをどのようにIPアドレス資源に適用するか
- IPアドレス資源に適用したPKIを、さらに、どのようにルーティングに関係させるのか
の2点について、構想段階と標準化のステップが終了しつつあります。RPKIの活用に向けた次のステップとして、複数のRPKI実装による実証実験の段階に進みつつあるのが2013年現在の状況です。
実証実験のステップですので、当然、過去事例に倣うなどのお手本があるわけでもなく、まったくの白紙の状態からサービスモデルを検討しなければなりません。特に、環太平洋地域以外では、RPKIの応用であるROA(Route Origin Authorization)※1の作成、ROAを用いたルーティングなどへの関心が急速に高まりつつあり、JPNICとしてこの機会に実証実験を行う必要があると考えました。また、実証実験は先進的なルーティング機能に関係するため、環太平洋地域でも特にこのような先進的な機能に関心が高い、日本国内のルーティングオペレーターと共同で進めるべきだと考えました。
IRR・RPKI動向調査専門家チームの発足
このような経緯により、IRRとRPKIの両側面からルーティングについて知見を持つ方々と一緒に、前述2点の問題を検討し方向性を打ち出すことを主目的として“IRR・RPKI動向調査専門家チーム”を設立しました。同チームはすでに2013年1月から活動を開始し、本稿執筆時点では2013年6月までに成果をまとめる予定で活動を行っています。
IRR・RPKI動向調査専門家チーム
活動期間:2013年1月~6月(予定)
メンバー:
チェア インターネットマルチフィード株式会社 吉田 友哉
NTTコミュニケーションズ株式会社 有賀 征爾
NECビッグローブ株式会社 川村 聖一
KDDI株式会社 中野 達也
ソフトバンクBB株式会社 平井 則輔
株式会社インターネットイニシアティブ 松崎 吉伸
Telecom-ISAC Japan 渡辺 英一郎
この専門家チームの具体的な活動内容は、次の5点としています。
- IRRサービスの方針決定に必要なIRRサービスの動向把握
- RPKI実験サービスの開始を見据えたRPKIサービスの国際動向の把握
- 上記以外、レジストリとしてルーティングの関係に必要な技術調査と動向把握
- これらの課題を整理と課題解決方針の取りまとめ
- 取りまとめた内容を基にした報告書の作成
発足からこれまでの活動状況
同専門家チームでは、本稿執筆時点までに複数回のミーティングを行っておりますが、JPIRRについては、放置オブジェクト自動削除機能(オブジェクトガーベージコレクター)のルーティングへの影響についての課題が深く議論され、今後の改善方針などに一定の方向性が見え始めています。また、そもそもルーティングオペレーターに対してどのようなIRRサービスを提供するかといった根本的な検討など、しばらく議論がなされていなかった問題への対応に着手しています。
RPKIについては、JANOGでの“RPKIを試す会”主催のRPKIハッカソンの状況などを交えながら、BGPルータへのRPKI参照機能の実装状況や、懸念されるRPKIの情報配布モデルなど、今後の実験サービスに必要な議論が活発に行われています。
本専門家チームの成果は、活動終了後に文書で公開する予定となっておりますので、ご期待ください。
(インターネットマルチフィード株式会社 吉田友哉/JPNIC 技術部 岡田雅之)
- ※1 ROA
- BGP(Border Gateway Protocol)で使われるAS(Autonomous System)番号と、IPアドレスの組み合わせに対して、それが正しい組み合わせであることを示す電子署名が施されたデータで、数多くのBGPルータ同士でインターネットの経路情報を交換する際に、経路情報の正当性を確認できるようにすることを目的としています。