JPNIC News & Views vol.624【臨時号】

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
    __
    /Ｐ▲         ◆ JPNIC News & Views vol.624【臨時号】2009.3.17 ◆
  _/ＮＩＣ
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.624 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本号では、vol.623に引き続き、APNIC27ミーティング報告[第2弾]として、
Asia Pacific地域におけるリソース証明書とIRRの動向についてお届けします。

□APNIC27ミーティング報告
○[第1弾] 第27回APNICオープンポリシーミーティングレポート (vol.623)
  http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol623.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆APNIC27ミーティング報告 [第2弾]
  Asia Pacific地域におけるリソース証明書とIRRの動向
                                   JPNIC セキュリティ事業担当 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■概要

第27回APNICミーティングは、IPv6とIPv4アドレス移転の話題が大半を占める
ミーティングでした。APOPS PlenaryやPlenaryミーティングでは、ISPにとっ
てのIPv6の混在環境や、IPv6への移行のアプリケーション、ビジネスへの影響
というテーマでプレゼンテーションが行われ、オープンポリシーミーティング
のフォーカスは移転に関するポリシーでした。

IPv4アドレスの在庫枯渇には、IPアドレスを使う新規のユーザーに、インター
ネットへの接続性を提供したり、IPv4を使っているサーバへの接続性を維持す
るという課題の他に、二つの課題があることがわかっています。IPアドレスの
移管や売買が行われるような状況で、そのアドレスの正しさをどのように担保
するのかという課題と、その状況において、インターネット経路制御の正常な
運用をどのように守るのかという課題です。

本稿では、これら問題の解決の糸口となると期待されている、「リソース証明
書」と「IRR(Internet Routing Registry)」の動向をご報告します。


◆Asia Pacific(AP地域)におけるリソースPKIの動向

リソースPKI(以下、「RPKI」)は、IPアドレス等のアドレス資源の利用権利を
示す「リソース証明書」の発行に使われるPKIです。APNIC、RIPE NCC、ARINが
中心となって、2005年頃より技術的なアーキテクチャの検討が行われてきまし
た。

APNICにおけるRPKIは、2008年にMyAPNIC(*1)に組み込まれて以来、APNICメン
バーが実際にリソース証明書の発行を試せるようになっています。しかしIPア
ドレスの移転手続きにおいて具体的にどのように使われるのかは、いまだはっ
きりとしていません。

(*1) MyAPNIC
     http://www.apnic.net/services/myapnic/


第27回APNICミーティングの3日目(2009年2月24日)に行われた、NIR Technical
Workshopでは、APNICの電子証明書に関する取り組みの紹介とともに、NIR間の
意見交換が行われました。

Workshopの前半は、APNICによる活動状況の報告でした。現在、APNICでは、リ
ソース証明書の有効性を、ユーザー側で検証できるようにするプログラムの開
発が行われています。またMyAPNICにおけるユーザー認証用電子証明書のシス
テムを改良し、ICカードまたはUSBトークンを採用することが検討されていま
す。APNIC技術部門のマネージャーであるByron Ellacott氏によると、今後、
RPKIとメンバー認証用の認証局を統合し、APNICにおいて認証局という仕組み
の効率化が図られていく模様です。

続いて、NIRの間でリソース証明書に関する情報交換が行われました。TWNIC
(*2)では、RPKIの動向調査が継続的に行われています。一方、NIDA(KRNIC)
(*3)とVNNIC(*4)はRPKIの整備を長期的な課題と捉えており、コミュニティで
のディスカッション等は特に行われてはいないようです。CNNIC(*5)では、主
担当の技術者がおり、RPKIに関するワークショップなどを開いている模様で
す。NIRの中では、CNNICが最も積極的に関わろうとしている印象を受けまし
た。

ところで、RIPE NCCでは2008年10月、リソース証明書の試験利用サイトである
「certtest.ripe.net(*6)」が公開されました。2009年2月20日には、リソース
証明書とROAの検証ツールも同サイトで公開されています。前回の第57回RIPE
ミーティングでは、IXにおけるリソース証明書の利用例がRIPE NCCによって示
され、会場で課題点が議論されるなど、利用法の議論に関しては、一歩先を
行っている印象を受けました。

(*2) Taiwan Network Information Center
     http://www.twnic.net.tw/

(*3) National Internet Development Agency of Korea
     http://www.nida.or.kr/

(*4) Vietnam Internet Network Information Centre
     http://vnnic.vn/

(*5) China Internet Network Information Center
     http://www.cnnic.net.cn/

(*6) RIPE NCC Resource Certification
     https://certtest.ripe.net/


◆APNIC IRR

第27回APNICミーティング期間中、APNICによってIRRのチュートリアルが開か
れました。IRRのチュートリアルは、SANOGなどのNOGでも行われてきています
が、筆者がAPNIC IRRのチュートリアル参加するのは今回が初めてです。

APNICにおけるIRRは、2002年頃から運用されています。mntnerやmnt-lower
等、RPSL(Routing Policy Specification Language)の仕様はRIPE NCCと共通
しており、APNICのリソース管理システム(Resource Management System)とは
別のシステムでありながら、一部連動しているという特徴があります。

その連動とは、mntnerの共通管理と割り振り情報の自動登録です。APNIC IRR
では、リソース管理システムにおけるメンバー情報であるmntnerと、APNIC
IRRのmntnerが共通しています。すなわちリソース管理システム経由で登録さ
れたmntnerが、APNIC IRRの登録にも使われます。これは、IPレジストリシス
テムとIRRの管理情報が独立しているJPIRRとは大きく異なります。

また、APNICメンバー(LIR)に対して割り振られたIPアドレスは、inetnumオブ
ジェクトやinet6numオブジェクトとして、APNIC IRRに自動的に登録されます。
1次割り振りのIPアドレスは自動的に登録され、再割り振りやrouteオブジェク
トについては、割り振り先組織による任意登録となっています。つまり、
APNICからの割り振りを示すinetnumオブジェクトやinet6numオブジェクトにつ
いてはリソース管理システムで、LIRやmnt-lower等で指定された組織によって
登録されるrouteオブジェクトは、APNIC IRRを通じて登録が行われるという
構造です。

チュートリアルの講演者のAPNIC Amante Alvaran氏によると、APNIC内部では、
リソース証明書はIRRに代替するものと考えられており、IRRをやめることが検
討されているそうです。しかしチュートリアルでは、IRRだけが有する特性と
して以下のような説明がありました。リソース証明書では実現できないこれら
のIRRの機能性が失われることについては、APNICでも代替案を見いだせていな
い、あいまいな状態にあるようです。

   チュートリアルで説明されたIRRだけが有する特性：

      - デバイス非依存の経路制御に関する情報を保存できる
      - 隣接するASの情報を調べられる
      - ネットワーク計画に利用できる
      - 経路フィルタの生成に使用できる
      - IRRToolSetを使った設定ができる
      - ネットワークの障害対応に利用できる

なお、同じチュートリアルに参加していたLACNICのRoque Galiano氏によると、
現在、LACNICはIRRを運用していないが、今後立ち上げることが検討されてい
るようです。

               ◆               ◆               ◆                   

IPアドレスの移転が行われるようになると、電子的に有効性が検証できる形で
IPアドレスの利用権利を示すもの、すなわちリソース証明書の重要性が高まる
と言われています。もしリソース証明書が普及すると、JPNICとIP指定事業者
が行っているIPアドレス管理業務にも大きな変化があるかもしれません。

一方、日本を除くAP地域では、NIRでIRRが運用されておらず、インターネット
経路制御のセキュリティはリソース証明書で守るものだと考えている方がいる
ようです。

果たしてRPKIは、何を担保し、インターネットの運用にどう役立てるものなの
か、そしてその中でレジストリが果たす役割はどうなっていくのか、まだ明ら
かにはなっていない状態のように思います。IPv4アドレスの在庫枯渇までに、
明らかにしていくことが必要だと思います。

次回の第28回APNICミーティングは、2009年8月24日から28日まで、中国の北京
で行われます。


     ～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
       わからない用語については、【JPNIC用語集】をご参照ください。
            http://www.nic.ad.jp/ja/tech/glossary.html
     ～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  :::::  http://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト ::::  http://www.nic.ad.jp/member/(PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
 JPNIC News & Views vol.624 【臨時号】

 ＠ 発行         社団法人 日本ネットワークインフォメーションセンター
                 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
 ＠ 問い合わせ先   jpnic-news@nic.ad.jp
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
           本メールを転載・複製・再配布・引用される際には
       http://www.nic.ad.jp/ja/copyright.html をご確認ください
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
登録・削除・変更   http://www.nic.ad.jp/ja/mailmagazine/


■■◆                          ＠ Japan Network Information Center
■■◆                                     ＠  http://www.nic.ad.jp/
■■

Copyright(C), 2009 Japan Network Information Center
このページを評価してください
