――――――
インターネット上では、膨大な量のデータが行き交っています。このデータが目的地に正しく届くように、「BGP(Border Gateway Protocol)」というプロトコルが活躍しています。BGPは、まるで郵便配達員のように、データのパケットを正しい宛先へと導く役割を担っています。
しかし、わざと間違った地図情報を広めてしまうと、データのパケットが目的地とは違う場所に送られてしまい、データの盗聴や改ざん、サービスの停止といった様々な悪影響が発生します。このような行為はインターネットの世界では「BGPハイジャック」と呼ばれています。
「RPKI(Resource Public Key Infrastructure)」は、このBGPハイジャックを防ぐための仕組みです。
本記事では、この課題とその解決策であるRPKIについて解説します。
――――――
インターネットにおける経路情報とは
インターネット上のさまざまなネットワーク(AS:Autonomous System)同士が、お互いのネットワーク状況を教え合うことで、最適な経路を決めています。この経路情報を正確に管理することが、インターネットの安全性と信頼性を支える基盤となります。
しかし、BGPの設計上、教えられた情報が本当に正しいかどうかをすぐに確認できないため、不正な経路情報が広められてしまうリスクがあります。
不正な経路情報のリスク
不正な経路情報が広められると、次のようなリスクが発生します。
直接的なリスク
-
- データの盗聴
悪意のある人物が、盗み見たいデータの経路を自分のところに迂回させることで、そのデータの中身を確認することがあります。たとえば、オンラインバンキングのパスワードなどが盗まれる可能性があります。 - データの改ざん
悪意のある人物が、盗み見たデータを勝手に書き換えることがあります。たとえば、重要な書類が改ざんされる可能性があります。 - 通信障害
正しい経路を通らずに遠回りすることで、通信が遅くなったり、途中で途切れたりすることがあります。
- データの盗聴
ビジネスへの影響
-
- ブランドイメージの低下
セキュリティ事故により顧客の信頼を損なう可能性があります。 - 経済的損失
サービス停止やデータ漏洩対応のコストが企業の財務に影響を与えます。
- ブランドイメージの低下
IPv4アドレスを「売りたい方」から「買いたい方」へ
BGPにおけるセキュリティの要素
BGPは、データのパケットが目的地までどの道を通るかを決めるための地図のようなものです。インターネット上のさまざまなネットワーク同士が、お互いのネットワーク状況を教え合いながら、最適な経路を決めています。
しかし、この仕組みでは、教えられた情報が本当に正しいかどうかをすぐに確認することができません。このリスクを軽減するためには、BGP自体のセキュリティを強化し、経路情報の正当性を検証する仕組みを取り入れることが必要です。
BGPセキュリティ向上の2つの要素
1.経路情報の正当性検証(RPKIの活用)
インターネット上の住所(IPアドレス)には、パスポートのようなものがあると想像してみてください。このパスポートは「RPKI」と呼ばれています。RPKIを使うことで、「このIPアドレスは、この人が使っています」と証明できます。これにより、不正な情報を広めようとする人を防ぐことができるのです
2.ASパスの検証
データが目的地までたどり着くまでに通る道を「経路」と言います。この経路が信頼できる道を通っているかどうかを一つ一つ確認する仕組みを「ASパスの検証」と言います。これにより、途中でデータが盗まれたり、改ざんされたりするのを防ぐことができます。
これらの取り組みの中でも、特に注目されているのが「RPKI」です。RPKIは、経路情報が正しいことを保証する仕組みであり、BGPセキュリティの要といえる存在です。
RPKIとは?
RPKI(Resource Public Key Infrastructure)は、インターネット経路情報の正当性を保証する暗号基盤です。簡単に言うと、IPアドレスの所有者を証明する「住所証明書」のようなものです。この証明書によって、誰がどのIPアドレスを使えるのかを明確にすることで、偽の住所表示を防ぐことができます。
RPKIの仕組み
-
- ROA(Route Origin Authorization)の発行
IPアドレスの所有者が発行する証明書で、「私はこのIPアドレスを使っています」と宣言するものです。 - ROV(Route Origin Validation)の実施
ルーターが、受け取った経路情報がROAで示された情報と一致しているかを確認する仕組みです。不正な経路情報(ROAと一致しない情報)は自動的に排除されます。 - BGPセッションの強化
RPKIにより、正当性が確認された経路情報のみがインターネット全体で共有されるため、BGPセッションの安全性が向上します。
- ROA(Route Origin Authorization)の発行
RPKI導入のメリット
-
- BGPハイジャックの防止
不正なAS番号からの広報を検出し、排除することで、BGPハイジャックを未然に防ぎます。 - 設定ミスの抑制
管理者の設定ミスによる誤った経路広報もROVによって検出されます。これにより、運用上の人的エラーが削減されます。 - 通信の安全性向上
経路情報の正確性が保証されることで、データ盗聴や改ざんのリスクが低下します。
- BGPハイジャックの防止
RPKIと従来のセキュリティ対策の違い
これまでのネットワークセキュリティ対策(ファイアウォールやVPNなど)は、主に通信内容そのものを守ることに重点を置いていました。
一方で、RPKIは「インターネットの道案内」のような役割をする経路情報に注目しています。この経路情報が正しいことを確認することで、データが安全なルートを通るようにし、インターネット全体の安全性を高める仕組みです。
まとめ
RPKIを導入することで、インターネットをより安全で安定したものにすることができます。不正な経路情報を防ぎ、データが正しい道を通るようにする仕組みです。
RPKIでは、まずROAという証明書を使って「このIPアドレスはどのネットワークが使うか」を決めます。そして、ROVという仕組みで実際に広報される経路情報が正しいかどうかを確認します。これにより、BGPハイジャックと呼ばれる不正な操作やデータの盗聴といったリスクを効果的に防げるのです。
特に、インターネットの運営に関わる企業や団体にとって、RPKIはただのセキュリティ対策ではなく、インターネットを持続的に安全に使い続けるための大切な基盤です。RPKIを導入することで、データのやり取りがもっと安心できるものになり、インターネット全体がより信頼できる環境になることが期待されています。
本件に関するお問い合わせやご相談は、GMOブランドセキュリティまでご連絡ください
————————
著者プロフィール
三輪 佑太
GMOブランドセキュリティ株式会社 マーケティング&サービスストラテジ本部に所属し、サービス開発および「BRANDTODAY byGMO」の記事作成を担当。
入社当初は営業部に所属し、前職の通信業界の知的財産部での経験を活かして、お客様との関係構築やニーズの理解に注力。
現在は、BIMI/VMCといったメール認証技術に強い関心を持ち、日々学びを深めている。
————————
