Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
RPKI勉強会/RPKIユーザBoF
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
gree_tech
PRO
May 04, 2016
Technology
320
0
Share
RPKI勉強会/RPKIユーザBoF
RPKI勉強会/RPKIユーザBoF
gree_tech
PRO
May 04, 2016
More Decks by gree_tech
See All by gree_tech
変わるもの、変わらないもの :OSSアーキテクチャで実現する持続可能なシステム
gree_tech
PRO
0
4.2k
マネジメントに役立つ Google Cloud
gree_tech
PRO
0
51
今この時代に技術とどう向き合うべきか
gree_tech
PRO
3
2.7k
生成AIを開発組織にインストールするために: REALITYにおけるガバナンス・技術・文化へのアプローチ
gree_tech
PRO
0
370
安く・手軽に・現場発 既存資産を生かすSlack×AI検索Botの作り方
gree_tech
PRO
0
370
生成AIを安心して活用するために──「情報セキュリティガイドライン」策定とポイント
gree_tech
PRO
1
2.1k
あうもんと学ぶGenAIOps
gree_tech
PRO
0
490
MVP開発における生成AIの活用と導入事例
gree_tech
PRO
0
520
機械学習・生成AIが拓く事業価値創出の最前線
gree_tech
PRO
0
380
Other Decks in Technology
See All in Technology
オライリーイベント登壇資料「鉄リサイクル・産廃業界におけるAI技術実応用のカタチ」
takarasawa_
0
350
GKE Agent SandboxでAIが生成したコードを 安全に実行してみた
lamaglama39
0
210
生成AIが変える SaaS の競争原理と弁護士ドットコムのプロダクト戦略
bengo4com
1
3.6k
[Scram Fest Niigata2026]Quality as Code〜AIにQAの思考を再現させる試み〜
masamiyajiri
1
290
AI駆動開発で生産性を追いかけたら、行き着いたのは品質とシフトレフトだった
littlehands
0
460
The 7 pitfalls of AI
ufried
0
200
Swift Sequence の便利 API 再発見
treastrain
1
180
CyberAgent YJC Connect
shimaf4979
1
170
生成AIはソフトウェア開発の革命か、ソフトウェア工学の宿題再提出なのか -ソフトウェア品質特性の追加提案-
kyonmm
PRO
2
860
ボトムアップの改善の火を灯し続けろ!〜支援現場で学んだ、消えないための3つの打ち手〜 / 20260509 Kazuki Mori
shift_evolve
PRO
2
600
需要創出(Chatwork)×供給(BPaaS) フライホイールとMoat 実行能力の最適配置とAI戦略
kubell_hr
0
2.1k
エージェント時代の UIとAPI、CLI戦略
coincheck_recruit
0
160
Featured
See All Featured
Raft: Consensus for Rubyists
vanstee
141
7.4k
The Spectacular Lies of Maps
axbom
PRO
1
730
Organizational Design Perspectives: An Ontology of Organizational Design Elements
kimpetersen
PRO
1
690
Marketing Yourself as an Engineer | Alaka | Gurzu
gurzu
0
190
We Have a Design System, Now What?
morganepeng
55
8.1k
ラッコキーワード サービス紹介資料
rakko
1
3.2M
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
11
910
How to Grow Your eCommerce with AI & Automation
katarinadahlin
PRO
1
180
How to Think Like a Performance Engineer
csswizardry
28
2.6k
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
ryanjones
0
130
Making the Leap to Tech Lead
cromwellryan
135
9.8k
The Limits of Empathy - UXLibs8
cassininazir
1
320
Transcript
Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,
Inc. All Rights Reserved. Why don’t you try RPKI? (RPKIをなぜ試せないのか?) 開発本部 データセンターチーム マネージャー 黒河内 倫
Copyright © GREE, Inc. All Rights Reserved. 1. グリーとしてのRPKIへのモチベーション 2.
なぜ流行らないのか? 3. まとめ 目次
Copyright © GREE, Inc. All Rights Reserved. 1. グリーのRPKIへの モチベーション
Copyright © GREE, Inc. All Rights Reserved. Securityというよりは障害検知が目的 弊社は事業上、日本の携帯キャリアへの通信が多い 携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、
NATを利用しているため、1Prefixあたりのユーザ数は多い そのため1Prefixでも障害が発生した場合、その影響範囲は大きい もし、Mis-Originationされた経路がBGPで広報されても 何かしらの形で対応できる手段が欲しい RPKIに期待
Copyright © GREE, Inc. All Rights Reserved. RPKIで守れること 他ASのPrefixがMis-Originationされた際の対応が可能 具体的にはROAサーバの情報とBGPで受診した経路を比較し
その結果を用いて、attributeを書き換えることができる 守れるもの 守れないもの 自ASのPrefixがMis-Originationされた際 → BGPMON/経路奉行などで対応可能 ASごとMis-Originationされた際 → 後ほど岡田さんより詳細な説明あり
Copyright © GREE, Inc. All Rights Reserved. 2. なぜ流行らないのか?
Copyright © GREE, Inc. All Rights Reserved. 1. RPKIを導入してハイジャック検知できた実績がない プロダクション環境で防御できた実績があると大きい
2. PacketのMissFowardingに重要性を置いてない RPKIはOutboundのTrafficに設定する どっちかと言うと、 自Prefixがハイジャックされているかが重要 ただOutboundTrafficも非常に大事である 大きな要因と思われる2つのこと
Copyright © GREE, Inc. All Rights Reserved. グリーが悪意を持った人間に ハイジャックをされた場合 ISP1
http://www.gree.net/ http://www.gree.net/ 157.112.192.0/20 157.112.192.0/20 グリーのサイトを乗っとろう! そのために、まずはグリーが利用している PREFIXを調べて乗っとろう! GREE
Copyright © GREE, Inc. All Rights Reserved. IPアドレスを乗っ取るため、DNS側の乗っ取りは必要なし そのため、下記の様な名前の偽装も必要がない http://www.gree.net/
→ http://www.greee.net/ サイトのドメインごと乗っ取れるため、ユーザへの案内が難しい コンテンツサイドとしては対応が難しい IPアドレスを乗っ取られてからでは遅いため 乗っ取られるリスクを事前に回避したい
Copyright © GREE, Inc. All Rights Reserved. ハイジャックされたPrefixをFilterしてもらうために、 接続事業者、キャリアなどに連絡を行う必要がある ハイジャックされた出元のキャリアに連絡が容易につけば、
対応は簡単だが、海外などだと簡単にはいかないケースが予測される その場合は、一旦国内キャリアにFilterのお願いすることになるが、 契約のあるキャリアであれば緊急依頼を行いやすいが、 契約のないキャリアには依頼がしずらい 仮にグリーがハイジャックされた場合の対応 無理のある対応
Copyright © GREE, Inc. All Rights Reserved. ISPなどでもコンテンツはある 自社のクラウドサービス 自社コーポレイトサイト
問い合わせForm/Webでの申し込みサイト コンテンツ事業者だけの話ではない 有事の際に人力で対応していくのではなく、”RPKI”のような システムで検知/停止できるインターネットに皆でしていきたい 規模の大小はあれ、コンテンツ事業者と同じリスクは抱えている
Copyright © GREE, Inc. All Rights Reserved. 3. まとめ
Copyright © GREE, Inc. All Rights Reserved. 現状だと経路ハイジャック時のOutboundTraffic制御の技術は RPKI以外の解決策はない しかし知名度/利用度も低い状態である
利用度が低い理由は実績が少ないことにあると思われる セキュリティ関連の技術の場合、事例や法的な整備が出ない限りは なかなか注目されることは難しいとは思う RPKI以外解決策があるのか?
Copyright © GREE, Inc. All Rights Reserved. 銀の弾丸を待つよりかは、 いまあるプロトコルを 使いたおしてみてはどうでしょうか?
Copyright © GREE, Inc. All Rights Reserved. Why don’t you
try RPKI? (なぜRPKIを試さないのか?)
Copyright © GREE, Inc. All Rights Reserved. When do you
try RPKI? (いつやるのか?)
Copyright © GREE, Inc. All Rights Reserved. Copyright © GREE,
Inc. All Rights Reserved.
SiteGround - Reliable hosting with speed, security, and support you can count on.
gree_tech
takarasawa_
.jpg){kind=avatar}
lamaglama39
bengo4com
masamiyajiri
littlehands
ufried
treastrain
shimaf4979
kyonmm
shift_evolve
kubell_hr
coincheck_recruit
vanstee
axbom
kimpetersen
gurzu
morganepeng
rakko
tammyeverts
katarinadahlin
csswizardry
ryanjones
cromwellryan
cassininazir
