Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

RPKI勉強会/RPKIユーザBoF

Avatar for gree_tech gree_tech PRO
May 04, 2016
Technology
0
260

 RPKI勉強会/RPKIユーザBoF

RPKI勉強会/RPKIユーザBoF

Avatar for gree_tech

gree_tech PRO

May 04, 2016
Tweet

More Decks by gree_tech

See All by gree_tech
変わるもの、変わらないもの :OSSアーキテクチャで実現する持続可能なシステム
Avatar for gree_tech gree_tech
PRO
0
2.5k
マネジメントに役立つ Google Cloud
Avatar for gree_tech gree_tech
PRO
0
27
今この時代に技術とどう向き合うべきか
Avatar for gree_tech gree_tech
PRO
3
2.4k
生成AIを開発組織にインストールするために: REALITYにおけるガバナンス・技術・文化へのアプローチ
Avatar for gree_tech gree_tech
PRO
0
160
安く・手軽に・現場発 既存資産を生かすSlack×AI検索Botの作り方
Avatar for gree_tech gree_tech
PRO
0
160
生成AIを安心して活用するために──「情報セキュリティガイドライン」策定とポイント
Avatar for gree_tech gree_tech
PRO
1
1.5k
あうもんと学ぶGenAIOps
Avatar for gree_tech gree_tech
PRO
0
270
MVP開発における生成AIの活用と導入事例
Avatar for gree_tech gree_tech
PRO
0
300
機械学習・生成AIが拓く事業価値創出の最前線
Avatar for gree_tech gree_tech
PRO
0
220

Other Decks in Technology

See All in Technology
ESXi のAIOps だ!2025冬
Avatar for Unno Wataru unnowataru
0
390
Amazon Bedrock Knowledge Bases × メタデータ活用で実現する検証可能な RAG 設計
Avatar for Tomoaki tomoaki25
6
2.4k
AWSの新機能をフル活用した「re:Inventエージェント」開発秘話
Avatar for みのるん minorun365
2
470
AR Guitar: Expanding Guitar Performance from a Live House to Urban Space
Avatar for Ekito ekito_station
0
240
2025年のデザインシステムとAI 活用を振り返る
Avatar for Tech Leverages leveragestech
0
300
障害対応訓練、その前に
Avatar for coconala_engineer coconala_engineer
0
200
『君の名は』と聞く君の名は。 / Your name, you who asks for mine.
Avatar for NTT docomo Business nttcom
1
120
20251218_AIを活用した開発生産性向上の全社的な取り組みの進め方について / How to proceed with company-wide initiatives to improve development productivity using AI
Avatar for yayoi_dd yayoi_dd
0
710
普段使ってるClaude Skillsの紹介(by Notebooklm)
Avatar for Higuchi kokoro zerebom
8
2.3k
モダンデータスタックの理想と現実の間で~1.3億人Vポイントデータ基盤の現在地とこれから~
Avatar for タロウ taromatsui_cccmkhd
2
270
Oracle Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
1
770
Snowflake導入から1年、LayerXのデータ活用の現在 / One Year into Snowflake: How LayerX Uses Data Today
Avatar for Civitaspo civitaspo
0
2.5k

Featured

See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
286
14k
Leo the Paperboy
Avatar for Maya Tellez mayatellez
0
1.3k
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.3k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
34k
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
Avatar for Tech SEO Connect techseoconnect
PRO
0
74
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
Avatar for konakalab konakalab
0
320
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
410
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
190
11k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
73
11k
Heart Work Chapter 1 - Part 1
Avatar for Lake Fama lfama
PRO
3
35k
Sam Torres - BigQuery for SEOs
Avatar for Tech SEO Connect techseoconnect
PRO
0
150
B2B Lead Gen: Tactics, Traps & Triumph
Avatar for Sophie Logan marketingsoph
0
33

Transcript

  1. Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

    Inc. All Rights Reserved. Why donʼt you try RPKI? (RPKIをなぜ試せないのか︖) 開発本部 データセンターチーム マネージャー ⿊河内 倫

  2. Copyright © GREE, Inc. All Rights Reserved. 1. グリーとしてのRPKIへのモチベーション 2.

    なぜ流⾏らないのか︖ 3. まとめ ⽬次

  3. Copyright © GREE, Inc. All Rights Reserved. 1. グリーのRPKIへの モチベーション

  4. Copyright © GREE, Inc. All Rights Reserved. Securityというよりは障害検知が目的 弊社は事業上、⽇本の携帯キャリアへの通信が多い 携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、

    NATを利⽤しているため、1Prefixあたりのユーザ数は多い そのため1Prefixでも障害が発⽣した場合、その影響範囲は⼤きい もし、Mis-Originationされた経路がBGPで広報されても 何かしらの形で対応できる⼿段が欲しい RPKIに期待

  5. Copyright © GREE, Inc. All Rights Reserved. RPKIで守れること 他ASのPrefixがMis-Originationされた際の対応が可能 具体的にはROAサーバの情報とBGPで受診した経路を⽐較し

    その結果を⽤いて、attributeを書き換えることができる 守れるもの 守れないもの ⾃ASのPrefixがMis-Originationされた際 → BGPMON/経路奉⾏などで対応可能 ASごとMis-Originationされた際 → 後ほど岡⽥さんより詳細な説明あり

  6. Copyright © GREE, Inc. All Rights Reserved. 2. なぜ流⾏らないのか︖

  7. Copyright © GREE, Inc. All Rights Reserved. 1. RPKIを導⼊してハイジャック検知できた実績がない プロダクション環境で防御できた実績があると⼤きい

    2. PacketのMissFowardingに重要性を置いてない RPKIはOutboundのTrafficに設定する どっちかと⾔うと、 ⾃Prefixがハイジャックされているかが重要 ただOutboundTrafficも⾮常に⼤事である 大きな要因と思われる2つのこと

  8. Copyright © GREE, Inc. All Rights Reserved. グリーが悪意を持った人間に ハイジャックをされた場合 ISP1

    http://www.gree.net/ http://www.gree.net/ 157.112.192.0/20 157.112.192.0/20 グリーのサイトを乗っとろう︕ そのために、まずはグリーが利⽤している PREFIXを調べて乗っとろう︕ GREE

  9. Copyright © GREE, Inc. All Rights Reserved. IPアドレスを乗っ取るため、DNS側の乗っ取りは必要なし そのため、下記の様な名前の偽装も必要がない http://www.gree.net/

    → http://www.greee.net/ サイトのドメインごと乗っ取れるため、ユーザへの案内が難しい コンテンツサイドとしては対応が難しい IPアドレスを乗っ取られてからでは遅いため 乗っ取られるリスクを事前に回避したい

  10. Copyright © GREE, Inc. All Rights Reserved. ハイジャックされたPrefixをFilterしてもらうために、 接続事業者、キャリアなどに連絡を⾏う必要がある ハイジャックされた出元のキャリアに連絡が容易につけば、

    対応は簡単だが、海外などだと簡単にはいかないケースが予測される その場合は、⼀旦国内キャリアにFilterのお願いすることになるが、 契約のあるキャリアであれば緊急依頼を⾏いやすいが、 契約のないキャリアには依頼がしずらい 仮にグリーがハイジャックされた場合の対応 無理のある対応

  11. Copyright © GREE, Inc. All Rights Reserved. ISPなどでもコンテンツはある ⾃社のクラウドサービス ⾃社コーポレイトサイト

    問い合わせForm/Webでの申し込みサイト コンテンツ事業者だけの話ではない 有事の際に⼈⼒で対応していくのではなく、”RPKI”のような システムで検知/停⽌できるインターネットに皆でしていきたい 規模の⼤⼩はあれ、コンテンツ事業者と同じリスクは抱えている

  12. Copyright © GREE, Inc. All Rights Reserved. 3. まとめ

  13. Copyright © GREE, Inc. All Rights Reserved. 現状だと経路ハイジャック時のOutboundTraffic制御の技術は RPKI以外の解決策はない しかし知名度/利⽤度も低い状態である

    利⽤度が低い理由は実績が少ないことにあると思われる セキュリティ関連の技術の場合、事例や法的な整備が出ない限りは なかなか注⽬されることは難しいとは思う RPKI以外解決策があるのか?

  14. Copyright © GREE, Inc. All Rights Reserved. 銀の弾丸を待つよりかは、 いまあるプロトコルを 使いたおしてみてはどうでしょうか︖

  15. Copyright © GREE, Inc. All Rights Reserved. Why donʼt you

    try RPKI? (なぜRPKIを試さないのか︖)

  16. Copyright © GREE, Inc. All Rights Reserved. When do you

    try RPKI? (いつやるのか︖)

  17. Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,

    Inc. All Rights Reserved.