「RPKI」「DNSSEC」「DMARC」のガイドライン策定に込められた思い、内容のポイントとは 作成した有識者らが解説：「少しでもハードルを下げたい」 官民連携の取り組み（1/4 ページ）

「RPKI」「DNSSEC」「DMARC」といったセキュリティ仕様は、広く認識、普及しているとは言い難い。こうした状況を踏まえ、総務省と複数の通信事業者、そしてJPNICをはじめとする業界団体が連携し、3つの技術それぞれに関して「ガイドライン」を定める取り組みを推進している。2024年11月に開催された「Internet Week 2024」で、ガイドライン策定を推進してきたメンバーが一堂に会し、ガイドラインの狙いとポイントを説明した。

[高橋睦美，＠IT]

印刷

見るPost

Shareシェア

はてなブックマーク

SharePocket Button

　セキュリティ対策というと、ゼロトラストをはじめキーワードに沿ってさまざまなソリューションを導入するアプローチが思い浮かぶかもしれない。だがその前に理解しておくべきことがある。インターネット上の通信をより安全に、適切に利用することを目的に標準規格として策定された「RPKI」「DNSSEC」「DMARC」といったセキュリティの仕様だ。

　RPKI（Resource Public Key Infrastructure）は、インターネットが動作するため使われるBGP（Border GatewayProtocol）というプロトコルでやりとりされる「経路情報」の正しさを電子署名を用いて証明する技術で、主にISP（インターネットサービスプロバイダー）など通信事業者にとって重要な技術だ。またDNSSEC（Domain Name System Security Extensions）は、同じく、インターネット運用に不可欠なDNS（Domain Name System）の応答を電子署名を用いて検証し、改ざんなどを検知できる仕組みである。そしてDMARC（Domain-based Message Authentication, Reporting and Conformance）は、SPF（Sender Policy Framework）やDKIM（Domain Keys Identified Mail）といった送信ドメイン認証技術を活用し、なりすましメール対策を実現するものだ。

　ただ、いずれの仕様もインフラ側で実装される技術ということもあり、広く認識、普及しているとは言い難い。こうした状況を踏まえ、総務省と複数の通信事業者、そしてJPNIC（日本ネットワークインフォメーションセンター）をはじめとする業界団体が連携し、3つの技術それぞれに関して「ガイドライン」を定める取り組みを推進している。

　2024年11月に開催された「Internet Week 2024」のセッション「作成者によるRPKI/DNSSEC/DMARCガイドライン要点解説」では、一連の動きを共に推進してきたメンバーが一堂に会し、ガイドラインの狙いとポイントを紹介した。

信頼できる世界を前提とした仕様を補う、新たなセキュリティ標準

続きを読む

　初めに、総務省サイバーセキュリティ統括官室統括補佐の梅城崇師氏が、一連のガイドライン作成の背景を説明した。

総務省 サイバーセキュリティ統括官室 統括補佐 梅城崇師氏

　「インターネットは、もし機能が停止すれば国民生活や経済社会に甚大な影響が発生する重要インフラです。同時に、サイバー攻撃が飛び交う空間でもあり、サイバーセキュリティ確保においても非常に重要な役割を担っています」（梅城氏）

　そこで総務省では、情報通信研究機構（NICT）のような研究機関の他、ISPなどの通信事業者、さらには広義のステークホルダーと幅広く連携し、インターネットという電気通信ネットワークをサイバー攻撃から守るためのさまざまな取り組みを進めてきた。

　こうした取り組みの一つが「NOTICE」だ。年末年始にはDDoS（分散型サービス拒否）攻撃が頻発したが、攻撃原因の一つとなっているのが、脆弱（ぜいじゃく）性が存在するIoT（Internet of Things）機器が攻撃者に乗っ取られ、悪用されるケースだ。そこでNOTICEでは、パスワードがデフォルト（初期設定）のままだったり、ファームウェアが更新されないまま運用されていたりするIoT機器を調査し、該当するものが見つかればISPを通じて利用者に注意喚起し、攻撃を未然に防いでインターネットの健全さを保とうとしている。

　他にも、「CYNEX」という基盤をNICTが構築し、テストベッドや演習などの環境を用意することで、国産セキュリティソリューションの育成や人材育成を進めたり、利用者向けの周知、啓発活動を進めたりしている。

　利用者向けの活動の一つとしては、テレワーク環境のセキュリティガイドラインがある。「2004年に作成したものですが、コロナ禍を機にテレワークが一気に進んだことを踏まえ、2021年に改定しました。同時に、システム管理担当者がおらず、何をやるべきか分からないという中小企業向けに、踏み込んで製品ごとに具体的な設定例まで記したチェックリスト方式の手引きも作成しました」（梅城氏）

　総務省ではこうした利用者向けの取り組みと並行して、ISPをはじめとする通信事業者向けの支援もしている。その成果が、このセッションのテーマである一連のガイドライン群だ。

　梅城氏は「インターネットは歴史的な背景から接続性や可用性を重視し、また限られた信頼できる環境を前提としていたことから、仕様そのものにもともと脆弱な部分があります」と述べ、それがBGPやDNSのハイジャック、あるいはなりすましメールの横行を招いている側面があると指摘した。

　こうした課題の解決に向け、電子認証技術を生かしてセキュリティを向上させるRPKIやDNSSEC、DMARCといった技術の標準化が進んできた。ただ「新たな機器の導入や設定変更も含めて費用がかかったり、『なぜ導入するのか？』というインセンティブが見いだせなかったりで、国内のISPでの普及がなかなか進んでいないと認識しています」（梅城氏）

　こうした背景から総務省では、3つの技術それぞれについて実証実験を実施した上でガイドライン案を作成し、導入のハードルを少しでも下げようと試みたという。そして、日本ネットワークインフォメーションセンター（JPNIC）や迷惑メール対策推進協議会といった業界団体にガイドライン案を引き渡し、実態に応じて手直しを加えた上で公開作業を進めている。

　「官民が連携して、インターネットのセキュリティ向上を後押ししています。総務省では引き続き、いろいろな施策を進めていきたいと考えています」（梅城氏）

実証実験を経て、民間の声を反映しまとめられた3つのガイドライン

　続けて、三菱総合研究所の小川博久氏が、3つのガイドラインに共通するコンセプトを説明した。

三菱総合研究所 小川博久氏

　セキュリティ上の懸念が高まるにつれ、多数のセキュリティに関するガイドラインが策定されるようになった。ふんわりとした抽象的な記述のものから、具体的なチェックリスト方式のものまで多様だが、総務省が軸となり、数年かけてまとめたRPKI/DNSSEC/DMARCガイドラインには、それらと異なる幾つかの特徴があると小川氏は述べた。

　一連のガイドラインの最大のポイントは、3つの技術それぞれについて、まず実証実験をして課題を抽出した上でまとめられたことだ。それも、ISP事業者の状況やニーズを考慮し、座学やハンズオンを通して技術そのものについての理解を深める「体験コース」、自由に使える仮想環境で検証する組織向けの「実験コース」、自社に検証環境を設けて検証に取り組む組織向けの「導入検証コース」という3つのコースを設けて調査した。

　RPKI実証には体験コースに23組織、実験コースに8組織、導入検証コースに10組織、DNSSEC実証ではそれぞれ17組織、2組織、6組織、DMARC実証では同じく18組織、3組織、7組織という具合に、近年まれに見る規模で多くの組織が参加し、導入における技術的課題を調査していった。

　「どういった情報が足りないのか、あるいはどういった検証が必要なのかを、ISPを中心になって実証していただき、不足していた内容をガイドラインに盛り込んでいきました」（小川氏）

　3つの技術は、広い意味では「同じネットワークの認証技術」と捉えることもできるため「一体化したガイドラインを作成しては」という意見もあったという。だが、技術ごとに、対象読者も求められる内容も異なることから、結局3つに分けてまとめることにした。

　とはいえ3つのガイドラインには、共有するコンセプトが幾つかある。一つは、対象者ごとに章立てを分けていることだ。第1章では、主に決定を下す経営層に向けて導入のメリットや必要性を訴え、第2章以降で技術者向けに具体的な内容を記載した。

　また「どこまでやればいいのか分からない」という迷いを生じにくくして事業会社の背中を押すために、あくまでガイド「ライン」として推奨すべき項目をまとめ、各項目が必須なのか、推奨なのかどうかを明示した。そして「参考までに知っておいた方がいい」といった情報はガイド「ブック」的に付け加えることとした。

　さらに「ガイドラインは発行すれば終わり、というものではありません。今後の技術進展を踏まえてメンテナンスやアップデートをしなければいけないこともあります」（小川氏）。従って、今後の更新やメンテナンスも考慮して作成していることが3つ目の共通点だ。

　このうち、RPKIとDNSSECのガイドラインに関して小川氏は「運用まで見越して日本語で作成したRPKIガイドラインは、今回が初だと思います。DNSSECについてはさまざまなガイドラインやガイドブックが存在しますが、3段階の成熟度モデルを設け、段階的に示すことによって、必要なスキルや効率的な導入計画を立てられるようにしているところが、他のガイドラインとの違いだと思っています」とした。

　そして、DMARCに関しても同様に詳細なガイドラインが出ているが、「これも、何を、どのように手を付ければよいのかが分かりづらいという意見があったため、まず何をした方がいいのか、どういったことを考える必要があるかを端的に示しました」（小川氏）。より細かな技術情報については、「送信ドメイン認証技術導入マニュアル」をはじめとする他のガイドラインに委ねることにしたという。

　そして、これらのガイドラインには「3つの確証」というコンセプトがあると小川氏は説明した。

　「まず『導入しても通常は問題ないこと』と『導入すると不正な経路、応答、メールから守られること』こと、そして『運用中に不具合が起きても適切に対処できること』という3つのポイントを示し、各技術を導入、運用できる各章を示す3つの章を示しました」（小川氏）