ニュースレターNo.65/2017年3月発行
第97回IETF報告
2016年11月13日(日)から18日(金)にかけて、韓国の首都ソウルにあるコンラッド・ソウルにて、第97回IETFミーティング(IETF 97)が開催されました。本稿では、このIETF 97の様子を、全体会議の報告を中心にお届けします。その他の動向については、概要と詳細なレポートへのURLをご紹介していますので、そちらも併せてご参照ください。
参加人数
今回の参加者はここ2年で最少の982人と1,000人を下回りました。リモートを除いた日本からの参加者は53人で、前回のIETF 96(ベルリン開催)とほぼ同じです。2年間で見ると日本の参加者も減少傾向にあるようです。国別の内訳順位は、米国、中国、韓国、日本、ドイツ、フランス、カナダ、イギリス、残りはその他の国で、開催地の韓国よりも中国の参加者が多かったのが印象的です。
全体会議からのトピック
IETFミーティングの期間中に必ず行われる、全体会議(plenary)からのトピック(2点)です。全体会議のすべての資料は発表資料「IETF 97 meeting materials」のページで見られます。
- IETF 97 meeting materials (全体会議を含むIETF97の発表資料のページ)
- https://datatracker.ietf.org/meeting/97/materials/
(このページはミーティング全体の報告が掲載された後はアクセスできなくなります)
ジョン・ポステル賞(Jonathan B. Postel Service Award)
ジョン・ポステル賞は、技術面やリーダーシップの発揮といったコミュニティに対して継続的な貢献のあった人に贈られるもので、毎年ISOC (Internet Society)によって選出されています。今回の受賞者はタイにある、アジア工科大学副学長のカンチャナ・カンチャナスット氏(Kanchana Kanchanasut氏)でした。カンチャナスット氏は、アジア工科大学をはじめとする、タイ周辺諸国を含めたインターネット接続のほか、インターネット・エデュケーション・リサーチ研究所の立ち上げ、南アジアにおける初の中立的なIXである、バンコク・ニュートラルIX (BKNIX)の立ち上げなどへの貢献が認められました。
- Kanchana Kanchanasut Honored with Jonathan B. Postel Service Award
- https://www.internetsociety.org/news/kanchana-kanchanasut-honored-jonathan-b-postel-service-award
技術全体会議(Technical plenary)〜インターネット・アーキテクチャへのアタック〜
技術全体会議は、参加者全員が集まることのできる大ホールで、IAB (Internet Architecture Board)などによって企画された、技術トピックについて議論を行う全体会議です。今回のテーマはDDoS攻撃です。DDoS攻撃は、設定やソフトウェアの不備が改善されにくいIoTノードが悪用されるようになり、スケーラビリティ(規模拡張性)を持つようになりました。このようなDDoS攻撃が成立しやすい状況はなぜできたのか、誰がどのような対抗策をとれば良いのか、IETFとしてはどうすればいいのか、といった観点で議論が行われました。これらの観点の説明は、あらかじめIETF Blogに掲載され、共有されていました。
- Attacks Against the Architecture, IETF Blog
- https://www.ietf.org/blog/2016/10/
技術全体会議では、はじめに、数多くのDDoS攻撃に対処してきたCloudFlare社の技術者であるNick Sullivan氏から、DDoS攻撃の仕組みや実態、技術的対策についての解説が行われました。DDoS攻撃は、1Mbpsのトラフィックを500Gbpsほどに増幅させることのできる“増幅攻撃”の一種で、権威DNSサーバに対する攻撃やICMPのSYNパケットが届く攻撃、HTTPやHTTPSのアクセスが数多く届く攻撃が多く観測されています。
対策としては、上流プロバイダでDDoS攻撃のパケットを廃棄するようなBGP経路制御を行ったり、ECMP (Equal Cost Multi Path)を使って分散させたり、BPF (Berkeley Packet Filter)を使った帯域制限を行ったりすることが挙げられています。発表の最後には、対策のコストを下げる考え方が簡潔に述べられていました。
- How to stay online: Harsh realities of operating in a hostile network (Nick Sullivan)
- https://www.ietf.org/proceedings/97/slides/slides-97-ietf-sessb-how-to-stay-online-harsh-realities-of-operating-in-a-hostile-network-nick-sullivan-01.pdf
次に、2016年10月下旬にDDoS攻撃を受けて話題になったDyn社のAndrew Sullivan氏による、まとめと議論の呼び水となる発表です。Dyn社は、国際的なBGP経路制御の異常やDNSのトラフィックを監視・分析して、BLOGなどで情報発信していることで知られる会社です。ホスティングサービスも行っています。このDDoS攻撃にはオープンソースのMiraiが使われた上に、Twitterなどの有名なサイトがアクセスできなくなったことが話題となりました。
- The Internet's Architecture is Under Attack (Ironically) (Andrew Sullivan)
- https://www.ietf.org/proceedings/97/slides/slides-97-ietf-sessb-the-internets-architecture-is-under-attack-ironically-andrew-sullivan-00.pdf
このプレゼンテーションでは、次のような論点が挙げられていました。
- IoTの考え方でIPのノードが数多く繋がってくると、結果的にDDoS攻撃のために使われるノードが増えて、被害が大きくなってしまうという点
- IPで接続されたカメラ等のデバイスは、脆弱性が発見されても改修されにくく、脆弱性を持ったまま運用されてしまうという点
- インターネット・アーキテクチャにおいて「賢いエッジと何もしないネットワーク」という原則的な考え方があり、そのお陰でノードの機能を拡張することの容易さが担保されてきた点(DDoS攻撃への対策のためにネットワーク機器に機能を加えるという考え方は、この考え方に反してしまう)
- BGP38のような対策はあっても、普及しないと効果が現れにくく、仮にインターネット接続の免許制度があったとしても全世界に普及するとは考えにくく、攻撃する側が有利であり続けるという点
- 自動車社会の始まりのときと同じように、多くの人によって運用される仕組みに存在する危険性は、なくすことができないという点
会場では良いテーマ設定への賛辞に続いて、さまざまな意見が出されました。IoTのデバイスに対してPCIDSS (Payment Card Industry Data Security Standard)のような基準への準拠を法制化するというアイディア、その意見に対して、国によって法制度の効果が違うという指摘、IoTデバイスのアップデート方法に関する技術的なアイディア、アクセスネットワークとデータセンターの要件を分けて考えるべきという意見などです。しかし、具体的にプロトコル策定の場においてどうすべきか、という結論までには至りませんでした。DDoS攻撃が容易にできてしまうという問題の性質について、共通理解が得られたという様子でした。
新たに設立されたWG
前回のIETF 96以降に新たに設立されたり、活動が始まったりしたBoFを紹介します。
QUIC WG
https://datatracker.ietf.org/wg/quic/charter/
Google社で開発され、WebブラウザのChromeなどで実装されている、WebのプロトコルQUICをドキュメント化して標準化するWGが設立されました。設立後初めての会合が開かれ、400名近くの参加者が集まりました。詳しくはコーナーの最後で紹介している「セキュリティエリア関連報告」をご覧ください。
L2SM (L2VPN Service Model) WG
https://datatracker.ietf.org/wg/l2sm/charter/
プロトコル階層モデルの第2層におけるVPN (Virtual Private Network)のYANG (Yet Another Next Generation)モデルを策定することを目的としたWGです。
SECEVENT (Security Events) WG
https://datatracker.ietf.org/group/secevent/charter/
WebのAPIにおける、イベント・メッセージを安全に伝えるためのプロトコル策定を行うWGです。
IPWAVE (IP Wireless Access in Vehicular Environments) WG
https://datatracker.ietf.org/group/ipwave/charter/
車などの乗り物における通信方式を扱うWGです。車同士の通信方式と、インターネットに繋がる乗り物のユースケースを扱います。趣意書では、IEEE802.11-OCBの上でIPv6を使う方式の策定を最初に行うとしています。
LPWAN (IPv6 over Low Power Wide-Area Networks) WG
https://datatracker.ietf.org/group/lpwan/charter/
IoT向け機器のIPv6を使った通信方式を扱うWGです。策定されるプロトコルは、低消費電力の広域ネットワーク用無線技術であるSIGFOX、LoRa、WI-SUN、 NB-IOTと組み合わせて使われることが想定されています。
前回に引き続き、IETF 97でも「Bad Attitude Pecha Kucha」が開催されました。これは非公式の会合で、参加者が持ち寄った画像のみのスライドを使って、ジョークのライトニングトークが行われます。前回好評であったためか、多数の参加者が集まりました。今回の内容は、初めてエリア・ディレクターになった方の体験談や、略語の多いIETFを皮肉って架空の下ネタWGの趣意を説明するといったものでした。ビデオが下記で公開されています。
- Bad Attitude Pecha Kucha Slides & Videos
- http://snaggletooth.akam.ai/
次回のIETF 98は、2017年3月26日(日)から31日(金)まで、米国のシカゴで開催されます。
(JPNIC 技術部/インターネット推進部 木村泰司)
IPv6関連WG報告
v6ops (IPv6 operation) WGはIPv6を展開するにあたっての課題、sunset4(Sunsetting IPv4) WGは、IPv4に依存しないアプリケーションやホスト、ネットワークの実現を目指したWGです。IETF 97におけるこれらのIPv6関連WGでの主な議論の動向について、株式会社ブロードバンドタワーの國武功一氏にレポートをご執筆いただきました。
詳しい内容については、次のURLをご覧ください。
- 第97回IETF報告「IPv6関連WG報告 〜v6ops、sunset4 WGに関して〜」
- https://www.nic.ad.jp/ja/mailmagazine/backnumber/2016/vol1456.html
トランスポートエリア関連報告
IETFにおけるトランスポート層の活動については、一部の機能が現在のインターネットでの利用に最適なものではなくなってきたことから、再び活発に議論が行われるようになってきました。その中でも、Google社が提唱する「QUIC」は、近年大きな注目を集めています。このトランスポートエリアでの議論の動向について、GE Global Researchの西田佳史氏にレポートをご執筆いただきました。
詳しい内容については、次のURLをご覧ください。
https://www.nic.ad.jp/ja/mailmagazine/backnumber/2016/vol1457.html
セキュリティエリア関連報告
今回のIETF 97における大きな話題は、2013年から検討が続けられてきていたTLS1.3の仕様がようやく固まり、会期終了直後には正式にバージョン名も決定したことです。ヤフー株式会社の大津繁樹氏にTLS (Transport Layer Security) WGにおける議論の概要をレポートしていただきました。
詳しい内容については、次のURLをご覧ください。
https://www.nic.ad.jp/ja/mailmagazine/backnumber/2016/vol1460.html
DNS関連WG報告
DNS関連では、プロトコルや運用方法に関する議論のほか、DNSサービスのスケーラブルな拡張機能や、名前解決におけるプライバシー問題などが議論されています。これらのDNS関連WGの動向について、東京大学の関谷勇司氏とJPNICの小山祐司にてレポートをまとめています。
詳しい内容については、次のURLをご覧ください。
https://www.nic.ad.jp/ja/mailmagazine/backnumber/2016/vol1465.html
