BIGLOBEの「はたらく人」と「トガッた技術」

ルーティングセキュリティへの取り組み ~RPKI導入を進めています~

プロダクト技術本部ネットワーク技術部の山口です。
現在BIGLOBEでは「RPKI」というルーティングセキュリティの技術を2024年度に導入することを目指しています。
これを達成するため、長崎県立大学と共同研究という形式を取り準備を進めています。
今回はこの技術と取り組みについて紹介したいと思います。

インターネットのしくみと課題

インターネットは、各組織が持っているネットワークが、インターネットプロトコルとBGP(Border Gateway Protocol)という仕組みによって、相互に接続されることで成り立っている、地球規模の情報通信網です。

このBGPという仕組みによる相互接続にはAS(Autonomous System)という世界中で一意の番号が使われます。BIGLOBEはAS2518、KDDIはAS2516、AmazonはAS16509、GoogleはAS15169といったように番号が割り当てられています。ASの他に通信に必要なのが「IPアドレス」と言われる番号です。「インターネットの住所」などと言われたりもしますので、こちらの方が馴染みのある方が多いのかもしれません。このIPアドレス情報をBGPという仕組みを使ってAS同士が交換しあって、それが世界中に伝搬することでインターネットが成立しています。

IPアドレスは世界で重複することのない※番号で、アジア太平洋やヨーロッパなどの地域単位のRIR(Regional インターネットレジストリ)、さらに国ごとのNIR(National インターネットレジストリ、日本ではJPNIC)という組織により厳密に管理されています。各組織はこのインターネットレジストリからIPアドレスの割り振りを受けて、それをBGPで他の組織と交換します。(自分に割り振りされたIPアドレス情報を他の組織にBGPを利用して渡すことを、経路を広告すると呼びます。)

他の組織と交換するIPアドレス情報はインターネットレジストリから正規に割り振りを受けたものであるべきですが、設定ミスや悪意をもった組織が正規に割り振りを受けていないIPアドレス情報を他の組織と交換してしまうことがあります。(これをMissOrigin経路ハイジャックと呼びます)これが発生すると、不正または誤ったIPアドレス情報を交換している所に通信が向かってしまい、正常に通信を行うことができず、インターネット上のサービスを利用できなくなってしまうことがあります。

例えば、2008年にはGoogle(YouTube)のIPアドレスを他の組織が誤ってインターネット上に伝搬させてしまい、世界的にYouTubeにアクセスできなくなる障害が発生したりしています。

xtech.nikkei.com

インターネットが我々の生活に欠かせないものとなる中で、このような事態により通信障害が発生することをできるだけ回避しインターネットをセキュアに保つことが求められています。

※IPアドレスには各組織内のみで自由に利用できるプライベートIPアドレスと、インターネットレジストリによって割り振りされるグローバルIPアドレスがあります。
今回は「グローバルIPアドレス」に関する話となります。

RPKIとは?

RPKI(Resource Public-Key Infrastructure)は、一言で言うとインターネットに広報するIPアドレスの正当性を電子証明書によって証明と検証をする仕組みです。この仕組みを使うことで、あるIPアドレスが正規に割り当てられたものか、どこの組織(AS)から広告されるものであるかを証明することができます。

具体的にはIPアドレスの割り振りを受けている組織は、インターネットレジストリの提供しているRPKIシステムを通じて各組織のリソース証明書を発行します。このリソース証明書を使って自分がインターネットに広告するIPアドレスとAS番号の情報を含む証明書を作成します。これを、ROA(Route Origination Authorization)と呼びます。(アールオーエーまたはロアと発音します)

作成したROA(証明書)はインターネット上から誰もが参照できるようになっています。利用者は「ROAキャッシュサーバ」というサーバを使って、このROA情報を収集します。そして、収集された証明書を検証※した検証データを保持します。この検証済みデータをVRP(Validate ROA Payload)と呼びます。BGPルータはキャッシュサーバと接続してこのVRP情報を取得して、実際にインターネットに流れているIPアドレスとAS番号の情報と比較検証します。比較検証の結果、万一VRPの情報と異なる経路情報があった場合、不正なIPアドレスの広告と判断してこの経路をブロックすることができます。これをROV(Route Origin Validation)と呼びます。(アールオーブイまたはロブと発音します)

※ RIR→NIR→ISPとリソース証明書の署名とROAの署名の連鎖が有効であり、ROAが真正であることを検証します。

公開鍵基盤や電子証明書の仕組みについて詳しくないと少し理解することが難しいかもしれませんが、このような仕組みを使うことで不正なIPアドレス情報を排除することができます。

ROAの概要 (リソースPKI (RPKI; Resource Public Key Infrastructure) - JPNIC より引用)

上の図の左側のBGPルータで、ROAキャッシュ情報をもとにIPアドレスとAS番号の情報と比較検証を行うのがROVとなります。

RPKIに関する動向

RPKIの導入に関しては日本より海外が先行しており、GoogleやAmazonなどの外資系の大手事業者は既にROA作成とROVの双方を既に導入しています。
そのため、インターネット上の事業者間の相互接続(ピアリング)の際に、RPKIの導入を推奨する事業者も現れ始めています。

日本で公開されている範囲では、IIJやNTTコミュニケーションズが既にRPKI(ROA作成とROVの双方)導入をしています。
ROAについてはその他のISPなどでも導入が広がりはじめていますが、ROVについての動きは鈍いのが現状です。

また、総務省が「ISPにおけるネットワークセキュリティ技術の導入に関する調査」と題した実証実験を2022年度~2023年度に行いました。
この成果は総務省のガイドラインとして本年度公開される予定であり、ガイドライン公開後は日本国内でも導入の機運が高まることも予想されます。

参考資料:総務省|サイバーセキュリティタスクフォース|サイバーセキュリティタスクフォース(第43回)

www.soumu.go.jp

※この総務省の実証実験にはBIGLOBEも参加し検証を行うと共にガイドラインの作成に協力しました。

※世界のRPKIの普及状況は NIST RPKI Monitor で見ることができます。

BIGLOBEの現状と導入への思い

BIGLOBEではROAの作成は2022年度までに全て完了しています。一方で他社の作成したROA情報を使って不正な経路をブロックするROVは導入できていません。そのため、現在はROVの導入を2024年度中を目途に行うことを目指して準備を進めています。

ROA/ROVは直ぐに導入しなければ不利益を被るものではありません。しかしお客様に安心安全なインターネット接続を提供するには必要な仕組みであり、数年後には必須となっていくことが予想される技術です。新技術のノウハウを獲得するには時間が掛ることもあり、この分野でBIGLOBEが業界をリードしていきたいという思いもあり、早期の導入を目指しています。

大学との共同研究について

RPKIの技術は公開鍵暗号や電子証明書技術が用いられるなど複雑な部分が多く、比較的新しい技術となるため世の中に情報が少ないのが現状です。
ROAの作成はそこまで難しいことではありませんが、ROVは複数のサーバからなるシステムを構築する必要があり、ROA作成と比べるとハードルが上がります。
特にキャッシュサーバについてはオープンソースソフトウエアのみが存在し、導入や運用をサポートしてくれるシステムインテグレーターもありません。
そこで、専門的な知見を持つ大学の研究室、長崎県立大学の岡田雅之教授の研究室と共同研究という形式を取りBIGLOBEへのROVの導入準備を進めています。

長崎県立大学 岡田研究室:研究ピックアップ_岡田 雅之|長崎県立大学

sun.ac.jp

研究テーマ

研究のテーマは「ROV導入に関するベストプラクティスの方向性の研究」です。キャッシュサーバとリポジトリ、ルータ間の基本的な動作確認と検証から、商用環境での適用に向けた詳細な課題を明確にし検証の上でベストプラクティスを確立します。専門的な内容とはなりますが、具体的には以下のような課題に対する研究を行っています。

  • 商用運用で適切なROAキャッシュサーバのパラメータ検討
  • 不正と判定された経路は本当に削除してよいのか、通信影響はないのか
  • ROVを行うにはどのような監視をすべきか?
  • リポジトリ、各種URLに含まれるドメイン名のDNSSEC対応状況
  • Trust Anchor経路の経路ハイジャック対策
  • NIRとRIR間IPv4アドレス移転時のROA登録に関する調査

研究を進める中で時に壁にぶつかることもありますが、議論を重ねて研究を進めています。

ルータの実機検証

BIGLOBEの商用ネットワークに実際にRPKIを導入するためには、実際に利用しているルータを用いて詳細な検証を行う必要があります。基本的な検証は、検証のために構築した仮想ルータで済ませてはいますが、新技術には現在利用している機種に依存する何らかの不具合が潜んでいることもあり、何らかのトラブルが発生しお客様に迷惑を掛けることは許されないためです。

長崎県立大学は検証用のサーバーラックやプライベートクラウドなど環境が充実しているため、BIGLOBEで利用しているルータと同一機種を大学に持ち込み実機検証も行っています。

検証環境に持ち込んだBIGLOBEのルータの写真
検証環境に持ち込んだBIGLOBEのルータ

ラックを強制冷却する仕組みが整っている長崎県立大学のサーバルームの写真
長崎県立大学のサーバルーム(ラックを強制冷却する仕組みが整っている)

人財獲得への期待

共同研究に関わる学生さんはとても優秀な方が多く、実験環境の構築や実験結果のレポートもスピーディーに対応してくれます。
また、技術にも詳しく、議論が白熱してあっという間に数時間が経過してしまうことも良くあり、私自身も多くのことを学んでいます。

サーバラックとともに岡田雅之教授と共同研究に参加している学生の後藤汰珠さん、津田敬伍さんが写っている写真
岡田雅之教授と共同研究に参加している学生の後藤汰珠さん、津田敬伍さん

研究室での検証の様子の写真
研究室での検証の様子

現在、BIGLOBEに限らず様々な業界で人材不足、人材の獲得が大きな課題となっているかと思います。このような活動を通じて学生さんにこの業界やBIGLOBEへ少しでも興味を持って頂き、優秀な人材の獲得にも繋がればと考えています。

おわりに

ルーティングセキュリティの取り組みはお客様からは見え辛い(体感し辛い)部分ではありますが、安全安心なインターネットを作るためには必要不可欠な技術です。BIGLOBEでは今後も積極的にルーティングセキュリティの向上に取り組んでまいります。また、ROA/ROVはインターネットを構成する複数の組織(AS)が導入することでより大きな効果を発揮する技術です。仮にBIGLOBEがROVを導入していても、通信の宛先が導入していなければ、不正な経路情報の影響を受けて障害となってしまう可能性があるからです。

そのため、インターネット業界の技術コミュニティと共にROA/ROVの業界全体での普及活動にも積極的に取り組んでいきたいと思います。

※ KDDI は、KDDI株式会社の商標または登録商標です。

※ Amazon は、Amazon.com, Inc.またはその関連会社の商標または登録商標です。

※ Google、YouTube は、Google LLCの商標です。

※ IIJ は、株式会社インターネットイニシアティブの商標または登録商標です。

※ NTTコミュニケーションズ は、日本電信電話株式会社の商標または登録商標です。

※ 記載している企業、団体、製品、サービス等の名称は各社またはその関連会社の商標または登録商標です。