Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
RPKI勉強会/RPKIユーザBoF
Search
gree_tech
PRO
May 04, 2016
Technology
0
210
RPKI勉強会/RPKIユーザBoF
RPKI勉強会/RPKIユーザBoF
gree_tech
PRO
May 04, 2016
Tweet
Share
More Decks by gree_tech
See All by gree_tech
LLM翻訳ツールの開発と海外のお客様対応等への社内導入事例
gree_tech
PRO
0
630
ヘブンバーンズレッドのレンダリングパイプライン刷新
gree_tech
PRO
0
640
ヘブンバーンズレッドにおける、世界観を活かしたミニゲーム企画の作り方
gree_tech
PRO
0
620
「魔法少女まどか☆マギカ Magia Exedra」のグローバル展開を支える、開発チームと翻訳チームの「意識しない協創」を実現するローカライズシステム
gree_tech
PRO
0
630
「魔法少女まどか☆マギカ Magia Exedra」での負荷試験の実践と学び
gree_tech
PRO
0
670
「魔法少女まどか☆マギカ Magia Exedra」の必殺技演出を徹底解剖! -キャラクターの魅力を最大限にファンに届けるためのこだわり-
gree_tech
PRO
0
640
ヒューリスティック評価を用いたゲームQA実践事例
gree_tech
PRO
0
620
ライブサービスゲームQAのパフォーマンス検証による品質改善の取り組み
gree_tech
PRO
0
630
コミュニケーションに鍵を見いだす、エンジニア1年目の経験談
gree_tech
PRO
0
140
Other Decks in Technology
See All in Technology
react-callを使ってダイヤログをいろんなとこで再利用しよう!
shinaps
1
230
Kiroと学ぶコンテキストエンジニアリング
oikon48
6
9.9k
【実演版】カンファレンス登壇者・スタッフにこそ知ってほしいマイクの使い方 / 大吉祥寺.pm 2025
arthur1
1
730
「全員プロダクトマネージャー」を実現する、Cursorによる仕様検討の自動運転
applism118
19
8.9k
自作JSエンジンに推しプロポーザルを実装したい!
sajikix
1
170
サンドボックス技術でAI利活用を促進する
koh_naga
0
200
Evolución del razonamiento matemático de GPT-4.1 a GPT-5 - Data Aventura Summit 2025 & VSCode DevDays
lauchacarro
0
150
5分でカオスエンジニアリングを分かった気になろう
pandayumi
0
210
Webブラウザ向け動画配信プレイヤーの 大規模リプレイスから得た知見と学び
yud0uhu
0
230
OCI Oracle Database Services新機能アップデート(2025/06-2025/08)
oracle4engineer
PRO
0
110
ZOZOマッチのアーキテクチャと技術構成
zozotech
PRO
3
1.5k
今!ソフトウェアエンジニアがハードウェアに手を出すには
mackee
11
4.6k
Featured
See All Featured
Unsuck your backbone
ammeep
671
58k
The World Runs on Bad Software
bkeepers
PRO
70
11k
Thoughts on Productivity
jonyablonski
70
4.8k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.6k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.1k
Visualization
eitanlees
148
16k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
51
5.6k
Building Applications with DynamoDB
mza
96
6.6k
Large-scale JavaScript Application Architecture
addyosmani
512
110k
Balancing Empowerment & Direction
lara
3
620
Bash Introduction
62gerente
615
210k
Transcript
Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,
Inc. All Rights Reserved. Why donʼt you try RPKI? (RPKIをなぜ試せないのか︖) 開発本部 データセンターチーム マネージャー ⿊河内 倫
Copyright © GREE, Inc. All Rights Reserved. 1. グリーとしてのRPKIへのモチベーション 2.
なぜ流⾏らないのか︖ 3. まとめ ⽬次
Copyright © GREE, Inc. All Rights Reserved. 1. グリーのRPKIへの モチベーション
Copyright © GREE, Inc. All Rights Reserved. Securityというよりは障害検知が目的 弊社は事業上、⽇本の携帯キャリアへの通信が多い 携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、
NATを利⽤しているため、1Prefixあたりのユーザ数は多い そのため1Prefixでも障害が発⽣した場合、その影響範囲は⼤きい もし、Mis-Originationされた経路がBGPで広報されても 何かしらの形で対応できる⼿段が欲しい RPKIに期待
Copyright © GREE, Inc. All Rights Reserved. RPKIで守れること 他ASのPrefixがMis-Originationされた際の対応が可能 具体的にはROAサーバの情報とBGPで受診した経路を⽐較し
その結果を⽤いて、attributeを書き換えることができる 守れるもの 守れないもの ⾃ASのPrefixがMis-Originationされた際 → BGPMON/経路奉⾏などで対応可能 ASごとMis-Originationされた際 → 後ほど岡⽥さんより詳細な説明あり
Copyright © GREE, Inc. All Rights Reserved. 2. なぜ流⾏らないのか︖
Copyright © GREE, Inc. All Rights Reserved. 1. RPKIを導⼊してハイジャック検知できた実績がない プロダクション環境で防御できた実績があると⼤きい
2. PacketのMissFowardingに重要性を置いてない RPKIはOutboundのTrafficに設定する どっちかと⾔うと、 ⾃Prefixがハイジャックされているかが重要 ただOutboundTrafficも⾮常に⼤事である 大きな要因と思われる2つのこと
Copyright © GREE, Inc. All Rights Reserved. グリーが悪意を持った人間に ハイジャックをされた場合 ISP1
http://www.gree.net/ http://www.gree.net/ 157.112.192.0/20 157.112.192.0/20 グリーのサイトを乗っとろう︕ そのために、まずはグリーが利⽤している PREFIXを調べて乗っとろう︕ GREE
Copyright © GREE, Inc. All Rights Reserved. IPアドレスを乗っ取るため、DNS側の乗っ取りは必要なし そのため、下記の様な名前の偽装も必要がない http://www.gree.net/
→ http://www.greee.net/ サイトのドメインごと乗っ取れるため、ユーザへの案内が難しい コンテンツサイドとしては対応が難しい IPアドレスを乗っ取られてからでは遅いため 乗っ取られるリスクを事前に回避したい
Copyright © GREE, Inc. All Rights Reserved. ハイジャックされたPrefixをFilterしてもらうために、 接続事業者、キャリアなどに連絡を⾏う必要がある ハイジャックされた出元のキャリアに連絡が容易につけば、
対応は簡単だが、海外などだと簡単にはいかないケースが予測される その場合は、⼀旦国内キャリアにFilterのお願いすることになるが、 契約のあるキャリアであれば緊急依頼を⾏いやすいが、 契約のないキャリアには依頼がしずらい 仮にグリーがハイジャックされた場合の対応 無理のある対応
Copyright © GREE, Inc. All Rights Reserved. ISPなどでもコンテンツはある ⾃社のクラウドサービス ⾃社コーポレイトサイト
問い合わせForm/Webでの申し込みサイト コンテンツ事業者だけの話ではない 有事の際に⼈⼒で対応していくのではなく、”RPKI”のような システムで検知/停⽌できるインターネットに皆でしていきたい 規模の⼤⼩はあれ、コンテンツ事業者と同じリスクは抱えている
Copyright © GREE, Inc. All Rights Reserved. 3. まとめ
Copyright © GREE, Inc. All Rights Reserved. 現状だと経路ハイジャック時のOutboundTraffic制御の技術は RPKI以外の解決策はない しかし知名度/利⽤度も低い状態である
利⽤度が低い理由は実績が少ないことにあると思われる セキュリティ関連の技術の場合、事例や法的な整備が出ない限りは なかなか注⽬されることは難しいとは思う RPKI以外解決策があるのか?
Copyright © GREE, Inc. All Rights Reserved. 銀の弾丸を待つよりかは、 いまあるプロトコルを 使いたおしてみてはどうでしょうか︖
Copyright © GREE, Inc. All Rights Reserved. Why donʼt you
try RPKI? (なぜRPKIを試さないのか︖)
Copyright © GREE, Inc. All Rights Reserved. When do you
try RPKI? (いつやるのか︖)
Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,
Inc. All Rights Reserved.