メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway

よく検索されるキーワード

IPv6 DNS HTTP WHOIS BGP IPv4 ドメイン名とは IPアドレス FQDN インターネット
ロゴ:JPNIC
WHOIS検索 サイト内検索

よく検索されるキーワード

ニュースレターNo.59/2015年3月発行

APNIC 38カンファレンス報告 RPKIの動向

本稿では、APNIC 38カンファレンスへの参加を通じて把握することができた、アジア太平洋地域におけるリソースPKI(Resource Public-Key Infrastructure; RPKI)提供の状況についてご報告します。

RPKIとは

RPKI※1は、インターネットのルーティングセキュリティ技術で、IPアドレスの記載された電子証明書(以下、リソース証明書)と、AS番号が記載されたROA(Route Origin Authorization)と呼ばれる電子署名の付いたデータを使って、不正な経路情報を検出できる技術です。

このRPKIは、JPNICとインターネットマルチフィード株式会社により、2014年10月1日から試験提供が開始された「ROAパブリックキャッシュ情報の配信」においても用いられています。BGP(Border Gateway Protocol)ルータの運用者は、ROAキャッシュサーバに蓄積されているROAを参照することにより、誤った経路情報を自動で判別できるようになります。ROAとRPKIを利用した経路制御の導入が進められることにより、誤った経路情報からインターネットをより強固に守ることができるようになると考えられています。

NIRにおけるRPKIへの取り組み状況

APNICでは、APNICから直接IPアドレスの分配を受けているAPNICメンバーに対して、既にリソース証明書が発行できるようになっています。IPアドレスに関するWeb申請システムである“MyAPNIC”では、IPアドレスの分配を受けたAPNICメンバーがWeb上でROAを作成する機能の他に、ROAの作成などを自組織のサーバで行うことができる下位認証局を接続する機能も提供されています。※2

一方、国別インターネットレジストリ(National Internet Registry; NIR)からIPアドレスの割り振りを受けている、アジア太平洋地域のISP事業者は、リソース証明書の発行を受けることはまだできません。RPKIは技術的に、IPアドレスやAS番号の分配を行うレジストリが、分配先に対してリソース証明書を発行する必要があるからです。NIRの中で、JPNICも含め、RPKIのサービスを提供しているところはまだありません。

APNIC 38の期間中に情報交換を通じて見えてきたことは、CNNIC(China Internet Network Information Center)やVNNIC(Vietnam Internet Network Information Center)、IRINN(Indian Registry for Internet Names and Numbers)は、RPKIに関心を示してはいるものの、まだ実験提供には至っておらず、KRNIC(Korea Network Information Center)やTWNIC(Taiwan Network Information Center)は、実験的な提供を通じて動向を把握している状態だということです。

KRNICは、前々回のAPNIC 36カンファレンスのNIR SIGで、RPKI実験環境を整えたことを発表していましたが※3、“本番提供にはまだ遠い”というのが担当者の見解でした。

JPNICにおけるRPKIへの取り組み状況の報告

JPNICからは、NIRのミーティングであるNIR SIGと、NIRのホストマスターの会合であるNIRホスト・マスターで、RPKIシステムの開発状況を報告しました。JPNICで取り組んでいる開発の特徴は、以下の3点です。

  1. RPKI Toolsの日本語対応(多言語対応)
  2. Web申請システムとRPKIシステムの認証連携
  3. レジストリデータベースとRPKIシステムのデータ連携

RPKIの適用箇所として、ルートサーバが有効かどうかという質問が挙がった他、後日に「言語の種類が多いアジア太平洋地域における、RPKIの導入に資する開発であり、RPKI Toolsにフィードバックすべきだ」といったコメントをいただきました。

IPアドレスの移転とRPKIの業務手順

今後、異なるNIR間でもIPアドレスの移転が行われる可能性があることを考えると、RPKIを提供するNIRにおいては、IPアドレスやAS番号の移転に技術的に対応できるようにしておくことが必要になってくると考えられます。RPKIの仕様策定を行っているIETF SIDR(Secure Inter-Domain Routing) WGでは、移転の際に、どのような手順でリソース証明書を更新していくべきかの議論が行われています。この議論では、移転手続きの途中においても、アドレスが証明された状態を途切れさせないようにすることが前提となっています。

しかし、移転時にリソース証明書をどのように扱うのかという、業務手順はまだ整理されておらず、筆者とAPNICのRPKI担当者とでも相談を行っています。アジア太平洋地域にはNIRが存在するため、RIRのみの場合よりも手順が複雑になることが想定されます。

大まかなアドレスの移転とリソース証明書更新の手順は、以下のようになると考えられています。

  1. 当事者間での移転の合意
  2. 移転先のリソース証明書の再発行(移転後のアドレスを含める)
  3. 移転元のリソース証明書の再発行(移転前のアドレスを削除する)

2と3の期間中、同じIPアドレスが二つのリソース証明書に記載された状態になるのが特徴です。これによって、移転するIPアドレスの有効性を保ち、リソースPKIが使われたBGPルーティングに影響が出ないようにできると考えられています。

もう一つの検討課題として考えられていることは、移転の業務手順です。移転がAPNICメンバーと、NIRの下に存在するLIR(Local Internet Registry、JPNICの場合はIPアドレス管理指定事業者など)との間で行われる場合には、2の前や3の後に、NIRのリソース証明書を再発行する手順が入ってきます。証明書の再発行と共にタイミングを合わせるために、APNICやNIR同士の連絡が重要になってくるかもしれません。

今後、アドレスポリシーの上で移転を行うことができるNIRと情報交換を行って、実施可能で証明書の利用者が困らないような業務手順を探っていく必要があると考えられます。

写真:NIR SIGの様子
● NIR SIGでは、筆者からJPNICにおけるRPKIに関する活動を紹介しました

(JPNIC 技術部/インターネット推進部 木村泰司)

※1 リソースPKI(RPKI)
https://www.nic.ad.jp/ja/rpki/
※2 Resource Certification - Guide to Resource Certification in MyAPNIC
http://www.apnic.net/__data/assets/pdf_file/0015/52602/ResCertGuide.pdf
※3 JPNICニュースレター No.55「APNIC 36カンファレンス報告 - RPKIの動向報告」
https://www.nic.ad.jp/ja/newsletter/No55/0692.html

このページを評価してください

このWebページは役に立ちましたか?
よろしければ回答の理由をご記入ください

それ以外にも、ページの改良点等がございましたら自由にご記入ください。

回答が必要な場合は、お問い合わせ先をご利用ください。

メールマガジン(JPNIC News & Views)登録

パスワードが記載された確認メールが発送されます。 確認メールが届かない場合は、 ご入力いただいたメールアドレスが
誤っていた可能性がありますので、 再度ご登録手続きを行ってください。

ロゴ:JPNIC

Copyright© 1996-2024 Japan Network Information Center. All Rights Reserved.