HOME >> 情報セキュリティ >> 調査・研究報告書 >> 情報セキュリティ技術動向調査(2009 年下期) >> 1 第76回IETF参加報告
情報セキュリティ技術動向調査(2009 年下期)
1 第76回IETF参加報告
木村 泰司
1. 7年ぶりの日本開催
2009年11月、広島市のANAクラウンプラザホテルで第76回IETFミーティングが開催された。日本で開催されるのは2回目で、前回の2002年7月横浜開催以来、7年ぶりとなる。参加登録者数はプレナリーでの発表時点(11月10日)で1,106名、そのうちの日本からの参加者の割合は34%で、米国の27%を抜いて1位であった。参加人数の他にも、IPv6の研究開発や標準化活動などで知られる萩野純一郎氏にちなんで設立されたItojun Service Awardの初の授賞式が行われたことや、インターネットへの接続が広帯域でかつ大変安定しており好評であったこと、そして参加者メーリングリストでの決め細やかな対応など、日本における開催という意味で、印象深いIETFミーティングであった。
本節では、第76回IETFミーティングのセキュリティエリアのWGの動向をまとめる。
図 1 広島で開催された第76回IETFミーティング
2. セキュリティエリアWGの動向
2.1. PKIX WG(Public-Key Infrastructure (X.509))
PKIX WGは、インターネットにおけるX.509ベースのPKIについて策定を行うことを目的として、1995年に設置されたWGである。近年のPKIX WGでは、PKIX WGで扱っているプロトコルの暗号アルゴリズムの代替可能性(Algorithm Agility)の確保やトラストアンカーの証明書管理(Trust Anchor Management)の仕組みの確立といった課題がある。しかしWGにおいてはアクティブなのは、古参のメンバーが多く、チェアのStephen Santesson氏を含め、ベテランの参加者がI-Dの作成に取り組んでいるという状況がある。
前回の第76回IETF以降から広島のPKIX WGミーティング(2009年11月)までの間に、以下のドキュメントがRFCとなった。
| ○RFCとなったドキュメント | |
|
この他に、実装状況の報告によりRFC 5280をPS(Proposed Standard)からDS(Draft Standard)にするための”RFC 5280 Implementation Report”[3]がNIST(国立標準技術研究所)のTim Polk氏により報告された(検証作業はDavid Cooper氏)。NISTにおけるテストスイートであるPKITS(Public Key Interoperability Test Suites) [4]を用いて、PKIX WG MLで収集されたS/MIMEのメールを検証するなどの作業が行われた。今後、RFC5280の大きな変更は行わず、Errataに基づく修正のみでDS化の提案が行われる。
2.2. SIDR WG(Secure Inter-Domain Routing WG)
SIDR WGは、RPSEC WGでまとめられたSecurity Requirementを踏まえ、インタードメイン・ルーティングにおけるセキュリティアーキテクチャの検討を行うWGである。このWGではRFCになったドキュメントはまだないが、第76回IETFの後、WG Last Callがかけられたドキュメントが現れてきた。
| ○WG Last Callがかけられたドキュメント | |
後半にWGドキュメントになっていない、2つの話題について議論された。IPアドレスの割り振り/割り当てとROA発行の関係について様々なケースを列挙したTerry Manderson氏のドキュメント [7]とTrust Anchorの管理手法に関するStephen Kent氏の提案である。Stephen Kent氏の提案は、RPKIの実装において、ローカルにTrust Anchorとなる電子証明書を用意し、プライベートアドレス等も扱えるようにするものである。
SIDR WGは、PKIX WGと同様にベテランの少数のメンバーが提案と議論を行っている状況であり、今後、より実現性の高めるために、ルーティングの技術者も議論に参加することが望まれている。
3. テクニカルプレナリー
テクニカルプレナリーはIRTFの報告や、IETFミーティング参加者全体での技術的なトピックについて議論が行われる全体会議である。今回は、国際化ドメイン名に関する議論が行われた。台湾ではドメイン名の35.2%が、韓国ではドメイン名の13.7%がIDNとして登録されているようで、今後コード体系が多いことによる問題、例えばWebのセキュリティやあいまいさを避けるために、複数のコードを混在させるのではなく、UTF-8に限定するなどの対策が必要であるというプレゼンテーションがあった。この他に、.ARPAゾーンにおけるDNSSEC導入のスケジュールがIABのチェアから発表された。この発表によると2009年第4四半期に設定を開始し、2010年第2四半期に本番投入できるように計画を進めているとのことであった。
4. IEPGにみる2009年のインターネット運用に関するセキュリティ動向
本稿はIETFミーティングの参加報告であるが、2009年度のインターネット運用のセキュリティに関わる出来事を振り返る意味でIEPG(Internet Engineering and Planning Group)ミーティングに触れておきたい。IEPGミーティングは、IETFミーティングの初日、IETFの受付が開始する前に行われるミーティングである。
IEPGミーティングは、開催日程からしてIETFミーティング参加者を対象としたものであるが、ミーティングの趣旨はプロトコルの策定とは離れている。インターネット経路制御の実状や、IPアドレスとAS番号の管理業務を国際的に行っているRIR(Regional Internet Registry)の活動状況など、国際的なインターネットの運用に関する話題が多い。今回のIEPGミーティングのアジェンダの中でインターネットの運用上のセキュリティに関連するものを以下にまとめる。2009年のインターネット運用上のセキュリティの話題を少しずつ取り出して集めたようなアジェンダであった。
2008年にあったYouTubeの経路ハイジャック事件以降、インターネット上のトラフィック状況などを世界地図にマッピングし、閲覧できるようにするプログラムの開発が進んできている。その活動のひとつとして捉えることができる。
|
以上
参考文献
| [1] | “Elliptic Curve Cryptography Subject Public Key Information” (RFC 5480) http://www.ietf.org/rfc/rfc5480.txt |
| [2] | “Other Certificates Extension” (RFC 5697) http://www.ietf.org/rfc/rfc5697.txt |
| [3] | “Implementation Report for the Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile RFC 5280” |
| [4] | “Computer Security Division Computer Security Resource Center ? PKI Testing” http://csrc.nist.gov/groups/ST/crypto_apps_infra/pki/pkitesting.html |
| [5] | “An Infrastructure to Support Secure Internet Routing”, draft-ietf-sidr-arch-09.txt http://tools.ietf.org/html/draft-ietf-sidr-arch-09 |
| [6] | “Certificate Policy (CP) for the Resource PKI (RPKI)”, draft-ietf-sidr-cp-08.txt http://tools.ietf.org/html/draft-ietf-sidr-cp-08 |
| [7] | “Use Cases and interpretation of RPKI objects for issuers and relying parties”, draft-manderson-sidr-usecases-01 http://tools.ietf.org/id/draft-manderson-sidr-usecases-01.txt |