米政府は、インターネットの重要な一部分のセキュリティを向上させるための施策に乗り出した。
国家サイバー局(ONCD:Office of the National Cyber Director)は、ボーダー・ゲートウェイ・プロトコル(BGP)に関連する脆弱性に対処することで、インターネットのルーティング・セキュリティを改善するためのロードマップを公表した。
ONCDのロードマップは、Resource Public Key Infrastructure(RPKI)のより広範な採用を求めている。RPKIはIETFの標準フレームワークであり、経路ハイジャック、経路リーク、IPリソースのハイジャックを防ぐことでセキュリティを向上させる。
RPKIを利用することで、公共のインターネットサービスプロバイダーを含む組織や、自社でルーティングを運用する企業は、パブリックネットワーク間でやり取りされるBGPアナウンス(経路更新)が有効で安全であることを確保できる。
ONCDは、ISP、ネットワークを運用する企業、自社のIPアドレス資源を保有する組織など、あらゆる種類のネットワークがRPKIを採用することを推奨している。
ONCDは、RPKIによってBGPを保護することは、重要インフラの運用者、州および地方自治体、そして「高価値」目的でインターネットに依存する組織にとって特に重要だとしている。
ホワイトハウスの国家サイバー局長ハリー・コーカー・ジュニア氏は、報告書の発表にあたり次のように述べた。「インターネットの安全は無視できないほど重要であり、だからこそ連邦政府は、各省庁におけるBGPセキュリティ対策の採用を急速に拡大するよう促し、模範を示している」
ONCDは報告書を公表するだけでなく、官民のステークホルダーによるワーキンググループを立ち上げ、インターネット・ルーティング・セキュリティ・ワーキンググループの共同議長も務める。同ワーキンググループは、ネットワーク運用者がリスクを評価し、IPアドレス資源および重要な経路オリジネーションの優先順位付けを行うための枠組みを策定する。
ONCDの取り組みについてさらに読む:ホワイトハウスとEC-Council、1500万ドルのサイバーセキュリティ奨学金プログラムを開始
基盤となるフレームワーク
ONCDによれば、BGPは基盤的なインターネット・プロトコルであり、7万を超える独立したネットワーク間の相互作用を制御し、それらの間でトラフィックをルーティングしている。ISPにとどまらず、クラウドプロバイダー、政府、大学、エネルギー事業者など幅広い組織で利用されている。
しかしONCDが指摘するように、BGPは今日のインターネットに必要なセキュリティ対策を前提として設計されていない。そのため、インターネットトラフィックが偶発的または悪意をもって迂回させられる可能性があり、重要インフラを危険にさらすとともに、諜報活動、窃盗、データ侵害の隠れみのとなり得る。
インターネット・インフラ提供企業のCloudflareは、RPKIを利用しているネットワークは約半数にとどまると指摘している。同社は、10万ドル相当の暗号資産の窃取を可能にした攻撃を含む、複数のBGP侵害事例を特定している。
専門ベンチャーグループTeam8のCTOであるエイダン・シニバー氏はInfosecurityに対し、次のように述べた。「長年にわたり、インターネットのルーティングはセキュリティよりも信頼を優先し、データの経路変更を防ぐために世界的な善意に依存してきたが、それは非現実的で無責任だ。 まるで、握手と笑顔だけを担保に貴重な貨物を船で送るようなものだ」
「企業はしばしば世界各地の拠点間で機微なデータを送信しており、経路が侵害されれば重大なセキュリティリスクとなる。ネットワーク運用者は、RPKIや同様のフレームワークを確実に採用し、信頼よりもセキュリティを優先しつつ、輸送中のデータに対する可視性と制御を企業に強化して提供できる、信頼性の高い標準を確立すべきだ」
翻訳元: https://www.infosecurity-magazine.com/news/us-internet-routing-security/
