インターネット協会は、新しいオンライン統計エンジンを導入し、ルーティングのセキュリティ向上に向けた長年の取り組みを強化しました。
業界団体「ルーティング セキュリティに関する相互合意基準」にちなんで名付けられた MANRS 観測所は、さまざまな情報源からの統計情報を組み合わせて、インターネットの安全性を高めるために設計されたシステムに対するオペレータのコンプライアンスを評価し、明らかにします。
ルーティングセキュリティとボーダーゲートウェイプロトコル(BGP)リークの問題は、ここ数年、障害や攻撃の件数(および規模)の増大に伴い、ますます重要になっています。犯罪者、そしておそらくは国家機関も、インターネットトラフィックを盗み取ることで、監視、妨害、盗難といった様々な可能性が秘められていることに気づいています。
2017年のルーティングエラーの分析によると、報告された14,000件のインシデントのうち38%が漏洩またはハイジャックによるものでした。MANRSの導入により、2018年にはこの件数は12,000件に減少しましたが、依然として非常に高い水準であり、責任あるネットワーク事業者は、フィルタリング、スプーフィング対策、グローバル検証、コーディネーションといった対策を実施し、この流れを食い止めようとしています。
しかし、既存のシステムに新たなチェック機能を追加するにはコストがかかります。それは、それを実装する事業者にとってすぐに得られるメリットがほとんどないコストです。BGPリークの皮肉な点の一つは、ミスを犯したネットワークではなく、そのネットワークに接続するネットワークに影響を与える傾向があることです。
そのため、MANRSオブザーバトリーは、より多くの事業者にセキュリティ強化の努力を促したいと考えています。オブザーバトリーの公開セクションでは、国別のコンプライアンス状況を分類し、フィルタリング、スプーフィング対策、グローバル検証、コーディネーションといった技術的な対策を実施した事業者の割合を示しています。
同調圧力
これらの全国統計は、個々の通信事業者に関する統合レポートに基づいていますが、個々のレポートにアクセスできるのはMANRS参加者のみです。業界の同調圧力を利用して、より多くの通信事業者に、公に非難されることなく、様々な修正を実施するよう促すのが狙いです。
インターネット協会は、この新しい観測所が様々な点で役立つと述べています。例えば、事業者は自社のコンプライアンス状況だけでなく、他の事業者のコンプライアンス状況も監視できるようになります。協会は、事業者が「MANRS観測所を活用して、潜在的なパートナーのセキュリティ対策が基準を満たしているかどうかを判断できる」と強調しています。言い換えれば、パートナーが対策を強化しない場合は、契約を解除すると警告できるということです。
また、中国電信の度重なる「エラー」により、大量のトラフィックが同社のサーバーを経由してリダイレクトされたことを受けて、政府がセキュリティへの影響を懸念し始めたことも明らかだ。
インターネット協会は、新しい統計エンジンにより、政策立案者が「ルーティングのセキュリティと回復力の状態をより良く理解し、MANRS のベスト プラクティスを求めることで改善する」のに役立つと指摘しています。
多種多様なインターネットコミュニティがルーティングセキュリティに関して全体的にどのように取り組んでいるかについては、MANRS の参加者の間では、ルーティングエラーの影響を制限するフィルタリングの準拠率が 100 パーセントであるのに対し、スプーフィング対策の準拠率は 60 パーセントにとどまっています。これは、実装がより難しいためだと考えられます。
同様に、MANRS 参加者の 89% が、セキュリティの向上と情報共有のために積極的に他の組織と連携しており、これはネットワーク オペレーターがインターネット セキュリティのあらゆる問題に対して長年行ってきたことです。
しかし、まだやるべきことは山積しています。MANRS参加者の85%がインターネットルーティングレジストリ(IRR)システムを通じてルーティング情報を検証している一方で、より安全なリソース公開鍵基盤(RPKI)アプローチを通じて検証しているのはわずか10%です。
不安?私?
これは基本的に、安全なウェブブラウジングと安全でないウェブブラウジングの違いですが、ルーティングテーブルに関するものです。IRRソースは40以上あり、事業者がIRRルート検証のみを使用している場合、インターネットトラフィックの経路を変更しようとする者が比較的簡単に無効なデータを作成し、それを正しいものとして受け入れてしまう可能性があります。
ネットワーク オペレーターは、この問題について 1 年近くにわたって議論を続けています。Cloudflare の Martin Levy 氏がこの問題について解説した投稿と、NTT の Job Snijders 氏が RPKI を導入する必要がある理由を説明したビデオがこちらにあります。
BGPの大失態:Verizonが今日、Cloudflare、Amazonなどを壊滅させた「連鎖的壊滅的障害」を引き起こした経緯
続きを読む
興味深いことに、国別の統計を見ると、さまざまな技術的修正が実施されている程度に大きな違いはほとんどありません。
インターネット協会が使用しているデータセット自体が限られているためなのか、それとも事業者が直面している問題が世界中で実質的に同じなのかは不明です。いずれにせよ、統計データを入手することで、業界は適切な質問をし始め、より安全なルーティングシステムへと皆を導く方法を見つけ出すことができるはずです。
「ルーティングセキュリティは、ほぼ完全にネットワーク間の信頼関係に基づいています」と、インターネット協会のシニアテクノロジープログラムマネージャー、アンドレイ・ロバチェフスキー氏は述べています。「MANRSオブザーバトリーの利点の一つは、説明責任の要素を追加できることです。MANRSは着実に導入が進んでいますが、より多くのネットワークが取り組みを実施し、より多くの顧客がルーティングセキュリティのベストプラクティスを要求する必要があります。」
現在、MANRSには200社を超えるISPと34のインターネットエクスチェンジポイント(ISP)が参加しています。MicrosoftとGoogleも最近参加しており、このグループに対する業界の支持が高まっていることが示唆されています。®
