安全なインターネット ルーティングの実現に向けた Google の取り組みの拡大

※この投稿は米国時間 2020 年 12 月 3 日に、Google Cloud blog に投稿されたものの抄訳です。

私たちの誰もが今年に入って目の当たりにしたとおり、安全で信頼できるインターネットが至るところで頼みの綱となる状況は、かつてないほどに強まっています。このパンデミックに対する世界各地の反応から浮き彫りになるのは、家族が互いにつながり、患者が治療を受け、生徒が学び続け、企業が事業を継続しようとするとき、私たちはあらゆる形でインターネットに依存しているということです。

Google は、数々の困難な状況に向き合うなか、自社のネットワークをどのような方法で DDoS 攻撃から保護し、復元性とパフォーマンスの維持に向けたプロセスをどのような方法で設計し、キャパシティ プランを定めて、Google Cloud のお客様をサポートしているのかについて、この数か月の間にドキュメントで紹介してきました。ここでは、ネットワーク インフラストラクチャのセキュリティと可用性を継続的に改善する取り組みの一環として、Google のネットワークをインターネットのルーティング システムの脆弱性から事前に保護するための手順、取り組みの進捗状況、インターネット全体の安全なルーティングの促進に向けて、より幅広いコミュニティと共同で作業を進めることの重要性について、詳しく取り上げます。

インターネットのルーティング システムに存在する脆弱性

現代的なインターネットが登場して以来、さまざまな通信会社、ISP、コンテンツ プロバイダ間の相互接続では、全世界のネットワーク間でのトラフィックのルートを決定する Border Gateway Protocol（BGP）が利用されてきました。BGP は、やり取りされる情報が常に正当なものであることを前提とした信頼モデルに基づいて設計され、運用され続けています。したがって、BGP を使用してルートを不正に通知するだけで（一般にルートのハイジャックまたはリークと呼ばれています）、トラフィックをごく簡単にリダイレクト、傍受、破棄できます。このような被害が頻繁に発生する原因としては、不適切な構成または意図的な攻撃が考えられ、場合によっては稼働停止などの損害につながります。

インターネットのコミュニティで 15 年あまりにわたってルーティング保護手法の開発が進められているにもかかわらず、業界内での採用は限定的なものにとどまり、遅れています。したがって、この問題は今なおインターネット全体で顕著な脆弱性の一つとなっています。これは解決が困難な問題であり、あらゆる種類の BGP ハイジャックを阻止できる妙案は存在しません。さらに、保護手段のほとんどは、大多数のネットワーク事業者が取り組まなければ効果を発揮しないものです。

ルーティング セキュリティへの取り組みの強化

今週、Google は MANRS イニシアティブの発表に参加しました。新たな作業部会を設置して、一連の新たな施策を進捗評価の指標とともに定義し、発行することにより、ルーティング セキュリティの改善をより一貫性のある喫緊の取り組みとするためです。2015 年に開始され、非営利組織である Internet Society が後ろ盾となっている MANRS の目標は、すべてのネットワーク事業者が適用できる最適なルーティング セキュリティ運用手順を確立することにあります。MANRS のメンバーである Google は昨年、多数の主要サービス プロバイダと連携し、クラウドと CDN のプロバイダを焦点とした特別綱領を策定しました。

ルーティング セキュリティ保護手段の開発とデプロイ

これらの指標値を Google が達成した方法や、インターネットのルーティング セキュリティ全般を改善するために Google が講じている施策を詳しく見てみましょう。

リソース公開鍵基盤（RPKI）

RPKI は暗号署名済みのレコードを保持している分散型の公開データベースであり、ネットワーク事業者が自社ネットワークのルーティング情報を安全に登録できます。他のネットワークは、レコードをダウンロードし、受信済みの BGP 広告が妥当な発信元によるものかどうかの確認（RPKI 発信元確認）に使用できます。RPKI の採用は最近 2 年間で大幅に増加し、AT&T、NTT、Telia、Cogent をはじめとする多くの大規模 ISP が、発信元の確認を実施していると発表しています。RPKI による保護でハイジャックを防御できるようにするには、最終的に、すべてのネットワークがルートを登録しなければなりません。2020 年 11 月の時点で、Google は自社のルートの 99% 超を（MANRS Observatory で確認できるとおり）RPKI に登録済みです。さらに、Google Cloud のお客様とエンドユーザーがハイジャックに起因する被害を受けることのないよう、不正なルートを拒否するための発信元確認を 2021 年にデプロイすることを予定しています。

一貫性のあるルート フィルタリング

多くのネットワークは、ルートの所有権と他のネットワークとの関係性に関する情報を、Internet Routing Registry (IRR) で公開しています。IRR の情報は RPKI よりも安全性が低い一方、広く普及していることから、フィルタリング ルールを作成して正当なルートのみを近隣のネットワークから受領しようとする場合、貴重なデータソースになります。Google では、自社のインフラストラクチャを保護するため、正当なルートの優先度を引き上げる IRR ベースのルート フィルタリングのデプロイを進めているほか、自身のルートに関するルーティング情報を IRR において最新の状態に維持しています（Google は RADb を使用）。また、MANRS のメンバーとの連携を通じて、あらゆるクラウド プロバイダが遵守できる一貫性のあるフィルタリング アプローチの定義を進めています。その目的は、IRR のデータを維持するうえでピア ネットワークで必要となる作業を明確化し、簡素化することです。

ピアとの連携

ピア ネットワークとは、この取り組みにおける Google のパートナーです。Google は、Google 単独ではなく、すべてのネットワークによるルートの検証を実現するため、RPKI や IRR といった公開型のルーティング情報ソースにあるレコードの維持に関しては、ピア ネットワークに依存しています。また、ピアリング ポータルを通じて、ピアから Google に通知されるあらゆるルートについて、カスタマイズされた情報をすべてのピアに提供し、IRR のステータスを示しています。来年初めまでに、RPKI の正当性情報も提供内容に含める予定です。Google は、2020 年の初頭から事前対応的にピアと接触し、不正なものと見られるルーティング情報についてはピアにアラートを発行しています。この情報を利用すると、ピアはレコードの更新または修正が必要となった可能性のあるルートを迅速に特定できるほか、修正の実施方法に関する指針を得られます。併せて、すべてのピアのデータ要件を一貫性のあるものにして、接続先のクラウドを問わずピアリングのプロセスを簡素化するため、他のクラウド サービス プロバイダとの連携を進めています。

Tier-1 ネットワークとの協調の拡大

Tier-1 ネットワークと大規模な中継プロバイダは、他のプロバイダやお客様のネットワークの接続手段となり、インターネットの第 1 次ハブとして機能することから、ルーティング セキュリティで重要な役割を担います。これらのネットワークの多くは、RPKI の発信元確認を含め、各種のフィルタリングをすでに率先してデプロイしています。Google は、パスに基づくフィルタリング（「ピアロック」とも呼ばれます）をほとんどの Tier-1 ネットワーク パートナーとの間で確立済みです。これらのフィルタによって、Google サービスのトラフィックが正当なパスのみを経由することが保証されます。不正なルートが大規模なハブ ネットワークで広い範囲に伝播されなくなると、ルートのリークとハイジャックによる影響が最小限に抑えられ、お客様とユーザーが被害を受ける可能性が減少します。

安全なインターネット ルーティングに向けた共同での取り組み

インターネット ルーティングのセキュリティを改善するには、複数のメカニズムを採用してデプロイすることや、インターネットのコミュニティ全体が参加することが不可欠になります。Google は、自社のサービスをルーティング関連の脅威から保護する取り組みを進めるなか、あらゆる利用者のルーティング セキュリティを引き上げるため、より広範なコミュニティとも積極的に協調しています。まず、新たに設置された MANRS 作業部会とともに明確な施策を定義し、技術的なアプローチやピア ネットワークとの連携の方法については、他の主要クラウド サービス プロバイダと足並みを揃えています。安全なインターネット ルーティングの確立に向けて効果的かつ迅速に歩みを進めるには、全員が一体となって同じ方向を向くことが欠かせないのです。

-Google Cloud Global Networking 担当バイス プレジデント Bikash Koley