Resource PKI（以下、RPKIと呼ぶ）は、2011年と予測されているIPv4アドレスの在庫枯渇¹に備えた、IPアドレスの利用権利を担保するPKIとして、またインターネット経路制御のセキュリティで使われるPKIとして注目されている。
 　2008年度は、RPKIのプロトコル策定が行われているIETF SIDR WGのドキュメント整備作業が大きく進み、RPKIの仕様の全体像が見えるようになってきた。また、ライブラリなどの実装を行ってきたAPNICとRIPE NCCでは、プロトタイプシステムが完成し、このPKIの利用実験が開始された。
 　本節では、「PKI関連およびインターネット経路制御のセキュリティ関連のトピック」として、RPKIを概説し、また国際動向について述べる。

 　RPKI（Resource PKI）とは、アドレス資源²の利用権利を担保するためのPKI（Public-key Infrastructure）である。RPKIにおける認証局は、アドレス資源を管理しているインターネットレジストリ運用される。
 　RPKIを使うと、IPアドレスやAS番号が正しく割り振り、または割り当てされていることを証明する「リソース証明書」の発行が実現できる。RPKIのための認証局は、技術的には、インターネットレジストリだけでなく、アドレス資源が割り振られた組織が運用することもでき、IPアドレスの再割り振り³等が行われても、RPKIがIPアドレスの管理体制から乖離しないようになっている。

 　2008年度の段階では、RPKIの用途は現在二つ考えられている。ひとつはアドレス資源の利用権利を示す「リソース証明書」であり、もうひとつはインターネット経路制御のためのセキュリティフレームワークである。以降、各々について述べる。

 　リソース証明書とはIPアドレスやAS番号が記載されたX.509形式の電子証明書で、記載されたアドレス資源が正当に割り振られたものであることを証明するものである。リソース証明書には割り振り先組織の名称等は記載されず、アドレス資源そのものが正しいものであることを証明する。
 　アドレス資源の割り振り・割り当て情報は、インターネットレジストリのデータベース⁴に登録されている。しかしIPv4アドレスの在庫が枯渇する時期になると、この登録情報とは無関係に売買などが行われ、もしくは然るべき移転が行われることなく、不正に使われてしまう危険性が高まると考えられる。アドレス資源が不正に使われると、本来の割り振り先組織（ISP等）がインターネットとの接続性を失う被害を受けるだけでなく、インターネットで利用できないIPアドレスの維持料を支払わざるを得ないような経済的な損失を被る可能性がある。
 　IPアドレスが記載されたリソース証明書は、そのIPアドレスが正当に割り振られたものであることを証明するため、リソース証明書を提示できない組織の、IPアドレスの利用を差し止める手掛かりとして利用できる。

図１　IPアドレスの移管に伴う利用権利の担保

 　インターネット経路制御⁵は基本的に運用者の善意に基づいたシステムである。設定ミスなどにより、偽のIPアドレスの情報が交換されると、インターネットに接続している多くのルータがそれを取り入れてしまい、本来のネットワークとは異なるネットワークにIPパケットが転送されてしまうことがある。これは経路ハイジャックと呼ばれ、例として前期の報告書で紹介したYouTubeの事件がある
 　リソース証明書は、経路ハイジャックの中でも影響が大きいprefix hijackingやorigin ASの詐称（なりすまし）を防ぐために利用できる。リソース証明書を使ってROA（Route Origination Authorization）と呼ばれる電子署名付きのデータを生成し、Secure BGPと呼ばれるルーティングプロトコルで使うと、不正な経路情報をフィルタリングすることが可能になる。リソース証明書の利用方法としては、Secure BGPの他に、専用の検証サーバを設けてルータに情報提供したり、Internet Routing Registry（以下、IRR）における電子署名のために使われたりすることが考えられている[1]。

図２　経路ハイジャックを防ぐためのリソース証明書の用途

 　RPKIに関わる、2008年度の技術動向として注目すべきことは、プロトコルの策定動向と、RIR⁶を中心としたプロトタイプシステムの開発の2点である。

 　2008年度は、ROAのデータフォーマットが具体化し、経路情報との比較方法に至る議論が行われた。ルータ内の処理については、CiscoやJuniper、国内の複数の大手ISPが議論に参加し始めた。RPKIに関わるプロトコルの策定を行うSIDR WGが設立された2006年4月当時、PKIX WGで策定されたRFC 3779[2]とRPSEC WGで議論されてきた”BGP Security Requirements”[3]に基づいた基本的な議論が行われていた。

 　2008年度、APNICとRIPE NCCは各々のメンバー（IPアドレスの割り振り先組織）に対して、RPKIの利用実験を開始した。RIPE NCCのベータテストプログラム⁷は、メンバーでなくても利用でき、利用イメージを共有することで、RIPEコミュニティでの議論を助ける役割を担っている。
 　これまで、RPKIのプログラム開発は、APNICを中心としてRIPE NCCとARINで行われてきた。APNICでは、2007年度にアーキテクチャの検討やプログラム開発、RPKIのトラストアンカーに関する議論などを、Wiki⁸にまとめており、2008年度の開発はこれらに基づいて行われた。
 　一方、RIPE NCCはIPアドレス管理業務への影響を調査するためにチームを作るなど、より運用面に着目した現実的な評価を行ってきた。

 　IPv4アドレスの在庫枯渇への注目度合いが高まるに伴って、不正なIPアドレスの利用についての関心も高まってきた。一方、使われていないIPアドレスを融通する「IPアドレスの移転」が不正に行われることで起こる、IPアドレスハイジャックの危険性の高まりを懸念する声も挙がっている。
 　これらを踏まえると、アドレス資源の利用権利を担保するRPKIは、IPv4アドレスの在庫枯渇時期にあって大変重要な位置づけにあるが、RPKIがどのように提供されるべきで、またシンプルかつ稼働していることが重要であるインターネット経路制御において、どの程度依存すべきであるのかを、今後明らかにしていく必要がある。

以上

[1] “Securing RPSL Objects with RPKI Signatures”
http://tools.ietf.org/id/draft-ietf-sidr-rpsl-sig-00.txt

[2] RFC 3779, “X.509 Extensions for IP Addresses and AS Identifiers”
http://www.ietf.org/rfc/rfc3779.txt

[3] “BGP Security Requirements”
http://tools.ietf.org/id/draft-ietf-rpsec-bgpsecrec-10.txt

1. IPv4 Address Report
    　http://ipv4.potaroo.net/
2. アドレス資源 − アドレス資源とは、IPアドレスやAS番号といったインターネットに接続するために必要な識別子のことで、インターネットレジストリと呼ばれる、国際的に体系づけられた複数の団体によって管理されている。
3. 再割り振り − ISP等がネットワーク運用を委託している場合などに、IPアドレスの割り振り先組織が、再度割り振りを行うこと。
4. 一般的にwhoisサービスを使うことで閲覧できる。
5. インターネット経路制御 − インターネット経路制御とは、インターネットに接続するルータで行われる処理または手続きの一つで、ISPや大学、企業などのIPネットワークがインターネットに接続するために行われる。インターネット経路制御では、ルータがBGPなどのルーティングプロトコルを用い、IPアドレスやAS番号の情報を交換する。
6. Regional Internet Registry
    　特定地域内のIPアドレスの割り当て業務を行うレジストリのこと。
    　http://www.nic.ad.jp/ja/basics/terms/rir.html
7. Certification of Internet Number Resources
    　https://certtest.ripe.net/
8. The APNIC Resource Certification page − Project Documentation
    　http://mirin.apnic.net/resourcecerts/