木村 泰司
Resource PKI(以下、RPKIと呼ぶ)は、2011年と予測されているIPv4アドレスの在庫枯渇1に備えた、IPアドレスの利用権利を担保するPKIとして、またインターネット経路制御のセキュリティで使われるPKIとして注目されている。
2008年度は、RPKIのプロトコル策定が行われているIETF SIDR WGのドキュメント整備作業が大きく進み、RPKIの仕様の全体像が見えるようになってきた。また、ライブラリなどの実装を行ってきたAPNICとRIPE NCCでは、プロトタイプシステムが完成し、このPKIの利用実験が開始された。
本節では、「PKI関連およびインターネット経路制御のセキュリティ関連のトピック」として、RPKIを概説し、また国際動向について述べる。
RPKI(Resource PKI)とは、アドレス資源2の利用権利を担保するためのPKI(Public-key Infrastructure)である。RPKIにおける認証局は、アドレス資源を管理しているインターネットレジストリ運用される。
RPKIを使うと、IPアドレスやAS番号が正しく割り振り、または割り当てされていることを証明する「リソース証明書」の発行が実現できる。RPKIのための認証局は、技術的には、インターネットレジストリだけでなく、アドレス資源が割り振られた組織が運用することもでき、IPアドレスの再割り振り3等が行われても、RPKIがIPアドレスの管理体制から乖離しないようになっている。
2008年度の段階では、RPKIの用途は現在二つ考えられている。ひとつはアドレス資源の利用権利を示す「リソース証明書」であり、もうひとつはインターネット経路制御のためのセキュリティフレームワークである。以降、各々について述べる。
リソース証明書とはIPアドレスやAS番号が記載されたX.509形式の電子証明書で、記載されたアドレス資源が正当に割り振られたものであることを証明するものである。リソース証明書には割り振り先組織の名称等は記載されず、アドレス資源そのものが正しいものであることを証明する。
アドレス資源の割り振り・割り当て情報は、インターネットレジストリのデータベース4に登録されている。しかしIPv4アドレスの在庫が枯渇する時期になると、この登録情報とは無関係に売買などが行われ、もしくは然るべき移転が行われることなく、不正に使われてしまう危険性が高まると考えられる。アドレス資源が不正に使われると、本来の割り振り先組織(ISP等)がインターネットとの接続性を失う被害を受けるだけでなく、インターネットで利用できないIPアドレスの維持料を支払わざるを得ないような経済的な損失を被る可能性がある。
IPアドレスが記載されたリソース証明書は、そのIPアドレスが正当に割り振られたものであることを証明するため、リソース証明書を提示できない組織の、IPアドレスの利用を差し止める手掛かりとして利用できる。

図1 IPアドレスの移管に伴う利用権利の担保
インターネット経路制御5は基本的に運用者の善意に基づいたシステムである。設定ミスなどにより、偽のIPアドレスの情報が交換されると、インターネットに接続している多くのルータがそれを取り入れてしまい、本来のネットワークとは異なるネットワークにIPパケットが転送されてしまうことがある。これは経路ハイジャックと呼ばれ、例として前期の報告書で紹介したYouTubeの事件がある
リソース証明書は、経路ハイジャックの中でも影響が大きいprefix hijackingやorigin ASの詐称(なりすまし)を防ぐために利用できる。リソース証明書を使ってROA(Route Origination Authorization)と呼ばれる電子署名付きのデータを生成し、Secure BGPと呼ばれるルーティングプロトコルで使うと、不正な経路情報をフィルタリングすることが可能になる。リソース証明書の利用方法としては、Secure BGPの他に、専用の検証サーバを設けてルータに情報提供したり、Internet Routing Registry(以下、IRR)における電子署名のために使われたりすることが考えられている[1]。

図2 経路ハイジャックを防ぐためのリソース証明書の用途
RPKIに関わる、2008年度の技術動向として注目すべきことは、プロトコルの策定動向と、RIR6を中心としたプロトタイプシステムの開発の2点である。
2008年度は、ROAのデータフォーマットが具体化し、経路情報との比較方法に至る議論が行われた。ルータ内の処理については、CiscoやJuniper、国内の複数の大手ISPが議論に参加し始めた。RPKIに関わるプロトコルの策定を行うSIDR WGが設立された2006年4月当時、PKIX WGで策定されたRFC 3779[2]とRPSEC WGで議論されてきた”BGP Security Requirements”[3]に基づいた基本的な議論が行われていた。
2008年度、APNICとRIPE NCCは各々のメンバー(IPアドレスの割り振り先組織)に対して、RPKIの利用実験を開始した。RIPE NCCのベータテストプログラム7は、メンバーでなくても利用でき、利用イメージを共有することで、RIPEコミュニティでの議論を助ける役割を担っている。
これまで、RPKIのプログラム開発は、APNICを中心としてRIPE NCCとARINで行われてきた。APNICでは、2007年度にアーキテクチャの検討やプログラム開発、RPKIのトラストアンカーに関する議論などを、Wiki8にまとめており、2008年度の開発はこれらに基づいて行われた。
一方、RIPE NCCはIPアドレス管理業務への影響を調査するためにチームを作るなど、より運用面に着目した現実的な評価を行ってきた。
IPv4アドレスの在庫枯渇への注目度合いが高まるに伴って、不正なIPアドレスの利用についての関心も高まってきた。一方、使われていないIPアドレスを融通する「IPアドレスの移転」が不正に行われることで起こる、IPアドレスハイジャックの危険性の高まりを懸念する声も挙がっている。
これらを踏まえると、アドレス資源の利用権利を担保するRPKIは、IPv4アドレスの在庫枯渇時期にあって大変重要な位置づけにあるが、RPKIがどのように提供されるべきで、またシンプルかつ稼働していることが重要であるインターネット経路制御において、どの程度依存すべきであるのかを、今後明らかにしていく必要がある。
以上
[1] “Securing RPSL Objects with RPKI Signatures”
http://tools.ietf.org/id/draft-ietf-sidr-rpsl-sig-00.txt
[2] RFC 3779, “X.509 Extensions for IP Addresses and AS Identifiers”
http://www.ietf.org/rfc/rfc3779.txt
[3] “BGP Security Requirements”
http://tools.ietf.org/id/draft-ietf-rpsec-bgpsecrec-10.txt