メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway

よく検索されるキーワード

IPv6 DNS HTTP WHOIS BGP IPv4 ドメイン名とは IPアドレス FQDN インターネット
ロゴ:JPNIC
WHOIS検索 サイト内検索

よく検索されるキーワード

===================================
    __
    /P▲         ◆ JPNIC News & Views vol.732【臨時号】2010.4.1 ◆
  _/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.732 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本号では、vol.731に続き、2010年3月にマレーシアのクアラルンプールで開
催されたAPNIC29ミーティング報告 [第2弾]として、「APNICにおけるリソー
スPKIの動向」をお届けします。

その他の話題につきましては、以下のバックナンバーをご覧ください。

□APNIC29ミーティング報告
  ○[第1弾]  全体報告(vol.731)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2010/vol731.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆APNIC29ミーティング報告 [第2弾] APNICにおけるリソースPKIの動向
                            JPNIC 技術部/インターネット推進部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本稿では、APNIC29ミーティング報告の中での発表を元に、APNICにおけるリ
ソースPKI(RPKI)の動向について報告します。

前回のAPNIC28ミーティングで行われたメンバーミーティング(AMM)で、会場
から意見があったためか、今回のAPNICミーティングでは、リソースPKIの情
報共有とディスカッションを行うセッション「RPKI BoF」が開かれました。
またAPNICとAP地域のNIRが集まって行われる「NIRテクニカルワークショッ
プ」と、通常セッションである「ルーティングセキュリティ」のセッション
でもリソースPKIが取り上げられました。

◆RPKI BoF

RPKI BoFでは、APNICによるリソースPKIへの取り組みと今後のプランに関す
るプレゼンテーションが行われました。本BoFのアジェンダを以下に示しま
す。

  RPKI BoF アジェンダ
    (1)リソースPKIの標準化動向
    (2)NROロードマップ
    (3)リソース証明書のCPS
    (4)MyAPNICにおける対応状況
    (5)リソース証明書検証ツール

はじめに(1)で、IETF SIDR WGにおける標準化動向について簡単に説明があ
り、次に(2)で、国際的にリソースPKIを適用していくロードマップについて
プレゼンテーションがありました。APNICでは、今後の1年間で、以下の四つ
のフェーズを経て実施していくプランが立てられています。

  フェーズ1-Pilot
    リソース証明書に記載されているIPアドレスやAS番号が、他RIRのリソー
    ス証明書の記載と重複することを許容した状態で開始。アドレスの移
    転が起こった場合のリソース証明書の処理を、手動でできるようにす
    る。

  フェーズ2-Initial Production
    五つのRIRにおいて、外部トラストアンカーを利用開始。外部トラスト
    アンカーとは、SSL/TLS等で用いる電子証明書を発行する認証局のこと
    で、RIR毎に立ち上げられる。この段階で、リソース証明書に記載され
    たIPアドレスやAS番号が、他のRIRで発行されたものと重複しないよう
    にする。

  フェーズ3-Global Consistency
    RIR間のリソースの移転を、自動で処理できるようにする。

  フェーズ4-Single TA
    単一のトラストアンカーを確立して、RIR間の移転を処理できるように
    する。

(3)では、APNICにおけるリソース証明書発行のためのCPS(Certification
Practice Statement)案が紹介されました。CPSとは認証局の業務実施内容を、
情報公開用にまとめたものです。APNICにおける準備が本格化している様子
がうかがわれます。

(4)では、MyAPNICのリソース証明書発行画面が紹介されました。経路情報の
検証に使われるROA(Route Origination Authorization)も発行できるように
なっています。

(5)では、ユーザーが手元でリソース証明書を検証できるようなツールを、
今後APNICが開発することについてプレゼンテーションが行われました。リ
ソース証明書を印刷する機能についても考えられています。

◆NIRテクニカルワークショップ

NIRテクニカルワークショップのアジェンダを、以下に示します。

  アジェンダと内容

    (1)RPKIプロジェクト
        国際的に唯一のトラストアンカーを設けることに向けた活動プラン
    (2)DNSSECプロジェクト
        APNICの割り振りゾーンにDNSSECを導入するプロジェクト
    (3)DNS APIプロジェクト
        DNSSECが使われる場合にゾーンデータを更新できるAPIの説明
    (4)High Availabilityプロジェクト
        APNICのWHOISなどのサービス向上を目的とした、災害復旧計画など
        の検討状況
    (5)IPv6 Fast Track
        自動的にIPv6を割り振る仕組み。NIRのWebポータルでも利用可能

APNICでは、NROのECG(Engineering Coordination Group)に働きかけ、これ
まで五つのRIRが個々にトラストアンカーの認証局を立ち上げることになっ
ていた状況を変えて、トラストアンカーの認証局を単一(いわゆるルート証
明機関)にするべく活動を行っています。

先のBoFの項で述べたように、今後1年以内に調整がつくと、よりシンプルな
リソースPKIができあがることになります。ただ、トラストアンカーの認証
局をどこが運用するのかという具体的なことは、まだ決まっていない模様で
す。

◆ルーティングセキュリティセッション

APNICミーティングの「ルーティングセキュリティ」セッションでは、三つ
のプレゼンテーションが行われました。

-RPKI and Internet Routing Security
                                川村 聖一氏(NECビッグローブ株式会社)

  ISPの観点でルーティングのための正しい情報源の必要性と、リソースPKI
  が普及すると、オペレーターはリソース証明書とROAを管理しなければな
  らない点などを指摘しています。

-The RPKI & Origin Validation 
                  Randy Bush氏(株式会社インターネットイニシアティブ)

  2008年に、YouTubeの経路情報が不正にインターネットに流れるという事
  件が起こりました。こうした経路ハイジャックを防ぐために、BGPの経路
  情報のOriginを確認する必要性を指摘した上で、BGPルータにおいてリソー
  ス証明書とROAを処理することで、Originの確認が行えることを実装を交
  えて示しています。

-Local Trust Anchor Management for the RPKI
                                  Stephen Kent氏(BBN Technologies社)

  プライベートアドレスや、その経路制御を扱うことを踏まえた、ローカル
  の証明書検証用の"Relying Party"を用いる提案です。

以上のように、APNICミーティングでは、リソースPKIの話題が積極的に取り
上げられています。実験的ではありますが、RIPE NCCやARINでもリソース証
明書の提供を開始しており、また今回Randy Bush氏が発表していたように、
リソースPKIを利用して経路情報のセキュリティに役立てるプログラムが現
れてきています。

しかしAPNIC配下のNIRの中で、リソースPKIを積極的に調査し、技術的な検
証を行っているようなところはほとんどないようです。AP地域のNIRが、今
後どのようにリソースPKIに取り組んでいくのか、ひいてはルーティングセ
キュリティにどう関わっていくのか、動きが見えない状況が続いています。


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
            http://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  :::::  http://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト ::::  http://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.732 【臨時号】

 @ 発行         社団法人 日本ネットワークインフォメーションセンター
                 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
 @ 問い合わせ先   jpnic-news@nic.ad.jp
===================================
___________________________________
           本メールを転載・複製・再配布・引用される際には
       http://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更   http://www.nic.ad.jp/ja/mailmagazine/


■■◆                          @ Japan Network Information Center
■■◆                                     @  http://www.nic.ad.jp/
■■

Copyright(C), 2010 Japan Network Information Center

このページを評価してください

このWebページは役に立ちましたか?
よろしければ回答の理由をご記入ください

それ以外にも、ページの改良点等がございましたら自由にご記入ください。

回答が必要な場合は、お問い合わせ先をご利用ください。

メールマガジン(JPNIC News & Views)登録

パスワードが記載された確認メールが発送されます。 確認メールが届かない場合は、 ご入力いただいたメールアドレスが
誤っていた可能性がありますので、 再度ご登録手続きを行ってください。

ロゴ:JPNIC

Copyright© 1996-2025 Japan Network Information Center. All Rights Reserved.