各位
一般社団法人日本ネットワークインフォメーションセンター
「RPKIのROAを使ったインターネットにおける不正経路への対策ガイドライン」
公開のお知らせ
このたびJPNICでは、インターネットの信頼性と安全性向上に向け、 RPKI※1を利用してインターネットにおける不正経路へ対応するためのガイドラインを公開いたしました。
- ■ RPKIのROAを使ったインターネットにおける不正経路への対策ガイドライン
- https://www.nic.ad.jp/ja/rpki/guideline/
本ガイドラインは、国内のISP等、 インターネットの接続性に関わる事業や技術的運用を行っている組織の経営者および技術者の方に向け、 相互接続ネットワークであるインターネットにおける不正な経路情報、 特にRPKIを使った対策の指針を示すものです。 ネットワーク運用者が効率的にRPKIを導入し、 ルーティングの信頼性を強化するための具体的な手順と実践的な指針を記載しています※2。
RPKIの導入により、不正経路情報のリスクが低減され、 安全で安定したインターネット接続の実現が期待されます。 インターネットの接続性に関わる事業や技術的運用行っている組織が導入を検討することが、 持続可能なインターネット基盤を支える力となります。
JPNICではRPKIの普及に向け、本ガイドラインの公表とあわせ、 「実践的でわかりやすい教育プログラムの提供」「技術検証環境の提供」も行っていきます。
「教育プログラムの提供」では、 2024年11月19日から主催する「Internet Week」においてもRPKIに関するプログラムを提供します。
- ■ Internet Week 2024
-
-
O5 作成者によるRPKI/DNSSEC/DMARCガイドライン要点解説
https://internetweek.jp/2024/archives/program/o5 -
H3 ROAキャッシュサーバハンズオン ~ROVをはじめよう~
https://internetweek.jp/2024/archives/program/h3
-
O5 作成者によるRPKI/DNSSEC/DMARCガイドライン要点解説
また「技術検証環境」は、2025年1月後半を目処にサービスをリリースする予定です。
RPKIならびに本ガイドラインについてのお問い合わせは、 rpki-query@nic.ad.jp 宛にお寄せいただきますようお願いいたします。
※1 「RPKI」は「Resource Public Key Infrastructure (リソース公開鍵基盤)」の略です。 主にインターネットルーティングの信頼性向上を目的とする技術で、 ネットワーク運用者が自分のIPアドレスやAS(自律システム)番号の正当性を証明し、 なりすましや不正な経路情報の広まりを防ぐための仕組みです。
具体的には、 各運用者がRPKI証明書を使って自らのIPプリフィクスが正当であることを証明し、 ROA (Route Origin Authorization)という認可情報を発行することで、 不正な経路情報をフィルタリングし、より安全で信頼性のあるルーティングを可能にします。 この仕組みにより、インターネット全体の安全性が強化され、 特にサイバー攻撃やセキュリティインシデントのリスクが低減される効果があります。
※2 ガイドラインの構成は以下の通りです。
1. ガイドラインの趣旨
1.1 本ガイドラインの活用方法
1.2 インターネットにおける経路情報
1.3 不正な経路情報のリスクや損失
1.4 対策技術 ― RPKIとROA、ROV
2. 技術的情報
2.1 ROA/IPアドレスの分配を受けた者の実施事項
2.1.1 ROAとは
2.1.2 不正経路とIPアドレスに関する考え方
2.1.3 ROAの作成と運用管理
2.1.4 BGP経路とROAを一致させる手順
2.1.5 重要事項:ROAの導入に関わる三つの確認
2.1.6 例外的な処置
2.2 ROV/AS運用をしている者の実施事項
2.2.1 不正経路への対策と考え方とROV
2.2.2 ROVの導入に関わるコスト
2.2.3 ROAキャッシュサーバ・ROVの所在
2.2.4 ROAキャッシュサーバの構築
2.2.5 ルータにおけるROV設定
2.2.6 ROVによる経路制御の詳細
2.2.7 重要事項:ROVの導入に関わる三つの確認
2.2.8 ROVの設定例
2.2.9 運用上の注意と懸念点
3. ROA/ROV以外の不正経路対策
3.1 BGPにおけるセキュリティの要素と考え方
3.2 ASパス検証の今後と運用について
4. 用語集
5. おわりに
以上
