「RPKI」「DNSSEC」「DMARC」のガイドライン策定に込められた思い、内容のポイントとは 作成した有識者らが解説：「少しでもハードルを下げたい」 官民連携の取り組み（2/4 ページ）

[高橋睦美，＠IT]

印刷

隕九ｋPost

Shareシェア

はてなブックマーク

SharePocket Button

心配ならば検証を――テストベッドや切り戻し手順も用意されたRPKIガイドライン

JPNIC 木村泰司氏

　RPKIガイドラインの策定に向けた実証実験の企画を担当したJPNICの木村泰司氏は、あらためて、一連のガイドライン策定の背景を次のようにコメントした。

　「インターネットは、政府のみならず社会、国民生活においても大切なプラットフォームです。同時に、民間が生み出して相互接続され、今でも運用されているものでもあります。そのインターネットを守っていくための技術導入をしていただくためには、どんなアプローチが必要か、という観点から検討しました」（木村氏）

　その際にベースとなったのは、かつてJPNICの理事を務め、政府の情報セキュリティ政策に大きく貢献した故山口 英氏の「自助、共助、公助」という言葉だ。

　「インターネットはまさに、AS（Autonomous System）や権威サーバ、メールシステムをおのおのが運用し、それがつながり合って成り立っています。ですから自助、共助という観点で、国民の皆さまが安心してインターネットを使えるところを目指し、調査事業、そして実証実験を進めてきました」（木村氏）

　それを踏まえ、総務省のICTサイバーセキュリティ政策分科会においてガイドライン案が示された。ただ、「これもポイントの一つで、政府が示したものに民間が従います、というものではなく、民間における議論を通じて案が作られ、有識者検討会を経てまとまったものです」と木村氏は述べ、上意下達ではなく、運用やメンテナンスを念頭に置いて民間の考え方を取り入れて策定されたものであると強調した。

　そして、小川氏が説明した「3つの確証」の狙いについて、木村氏も次のように述べた。

RPKIのROAを使ったインターネットにおける不正経路への対策ガイドラインより

　「『諸外国では導入が進んでいます』『義務なのでやってください』と説明して導入を進めることもありますが、それでは使い方を誤ってしまい、本来通したいものが落とされてしまうかもしれません」。3つの確証を通して導入の意義を見いだしてもらい、導入しても問題ないこと、もし不具合があっても対処できることを示したいとした。

　この目的を達成するため、実証実験においては、RPKIのROA（Route Origination Authorization）やROV（Route Origin Validation）の導入により、不正経路の影響を受けずに済むこと、性能も含めて通常のルーティングに問題がないこと、もし不具合が起きてもきちんと対処できることを確認し、それをガイドラインで示したという。

　木村氏はまた、このガイドラインは、JANOG（JApan Network Operators' Group）などさまざまなコミュニティーにおけるルーティングセキュリティに関する議論をベースにしていると説明した。「一部の意見ではなく、ルーティングコミュニティーにおいてこうすべきと考える方が多かった中でできたガイドラインです」（同氏）。有識者のレビューやルーターメーカーの意見も反映しており、具体的な設定例なども盛り込まれている。

　RPKIガイドラインの文量自体はそれほど多いものではない。その中でも、技術的なポイントとして木村氏は「次のROVにつなげるためにもROAを必ず作成すること」「BGP経路と一致するようにROAを保つこと」が大切であると述べた。

　ただ、ISPの場合は、万が一障害があったらどうするのかと懸念するのももっともだ。

　そこでJPNICでは、実証実験時の技術検証環境「GKK」を用意し、実証実験のときと同じようにリモートからアクセスしてルーターの動作やキャッシュサーバの動作、設定を間違えた際の動作などを確認できるように準備を進めている（2025年早期に提供予定）。

　「『何かあったらどうするの』というときには、GKKを利用して、その『何か』を起こしてみてください。ルーターによっても挙動は異なります。ROAに書かれているAS番号を間違えたらルーターの到達性はどうなるのか、キャッシュサーバが1つダウンしてしまったらどうなるのかといった事柄を自らご確認いただきたいと思います」（木村氏）

　これによって現場での懸念が払拭（ふっしょく）できても、もう一つ大きなハードルがある。経営層の説得だ。

　そこでRPKIガイドラインには、上司などに対して簡潔にRPKIの必要性を説明するための「チートシート」も用意されている。「エレベーターで社長などと一緒になり、その30秒で伝えなければいけないというときには、A4用紙一枚にまとめられている、ガイドラインの1.5にある実施事項を示してください」（木村氏）

RPKIガイドラインのチートシート（木村氏の講演資料より）

　他にも、RPKIガイドラインの1章には、経営的な観点で、RPKI対応にまつわるコスト面や影響、各要素の役割がまとめられている。さらに、対応しない場合にどういった事態が起こり得るのか、世界での事例を交えながら、不正な経路情報のリスクや損害についても説明がなされている。

　一方、2章以降では、ROAの作成、BGP経路とROAを一致させる手順、ROV導入などの手順など、RPKI対応のために必要な事柄が詳しく書かれている。

　また、付録として日本で利用されている主要なルーターでの設定例、さらに、不具合が生じた際に設定を元に戻す方法まで書かれていることもユニークな点だろう。木村氏は「導入してくださいと言って、その方法を説明するガイドラインはたくさんありますが、設定を元に戻す方法を示したガイドラインはひょっとしたらないのではないでしょうか。でも、そこまでできてはじめて安心できると思います」とコメントした。

　木村氏によると、ROAのインターネットの経路に対するカバー率は2024年には50％を越え、バリデーションにより守られる範囲は確実に広がってきた。また、米国ホワイトハウスでも、ルーティングセキュリティの確保に向けたRPKIに関する文書を公開しており、政府に関わる事業での対応が視野に入ってきている。

　「こうした中で、民間によってガイドラインが運用されていくという、まさにインターネットらしい動きを、日本では実現できていることが印象的だと思います」（木村氏）