米Microsoft社は、グローバルクラウドプロバイダーによるイニシアチブが推奨している一連の段階を踏んで、インターネットルーティングのセキュリティを向上させようとしている。

こうした新しいアクションは、Facebook社と共同で主導したイニシアチブ「Cybersecurity Tech Accord」など、過去にMicrosoft社が着手してきたルーティングセキュリティに対する取り組みを基にしている。

Microsoft社は当初、2019年に「Mutually Agreed Norms for Routing Security (MANRS)」イニシアチブに参加し、ルーティングセキュリティに関する一連のアクションに取り組んだ。今日では、RPKI（リソース公開鍵インフラストラクチャ）のオリジン検証やルートオブジェクト検証など、「MANRS Cloud and CDN program」によって新しく定義された各段階を実施することに取り組んでいる。また、パートナー企業が各段階で実装するのを支援するため、自社のピアネットワークやレジストリに対する取り組みも行う。

RPKIは、BGP（Border Gateway Protocol）経路のオリジン情報を獲得するのに使われるPKIフレームワークだ。これが重要なのは、BGPがハイジャックされればDDoS攻撃やデータの盗難につながる可能性があるためだ。Microsoft社は、自社のAS番号によって通知する全BGPルートに署名している。Microsoft社が所有するインターネットプロトコルルーティングプレフィックスだ。また、ピアリングポリシーを更新し、2021年半ばまでに自社のインターネットピアすべてにRPKIフィルタリングを実装すると約束した。

ルートオブジェクトの検証では、パブリックIPR（インターネットルーティングレジストリ）を使用してすべての着信ルートを検証する。Microsoft社はすでにRADB内のすべてのレコードを更新し終えており、現在はピアネットワークに取り組み、パブリックIRR内の経路レコードを更新しようとしている。また、インターネット上でのルートハイジャックやルートリークをリアルタイムに検出・軽減する、グローバルなRADAR（Route Anomaly Detection and Remediation）システムを社内で開発、展開した。

「Azure Peering Service」に参加しているインターネットサービスプロバイダ（ISP）、インターネット交換パートナー（IXP）、ソフトウェア定義のクラウドインターコネクト（SDCI）プロバイダを利用している顧客は、RADAR情報を受信するよう登録すれば、システムがルート異常を検出した場合にアラートを受信することもできる。

Microsoft社のルーティングセキュリティに関する継続的な行動

クラウドプロバイダーであるMicrosoft社はルーティングセキュリティ分野のリーダー的存在であり、現在の取り組み以前にも長年にわたってインターネットルーティングセキュリティにまつわる課題を解決するべくいくつかの段階を踏んできている。MANRSに参加しただけでなく、そのフレームワークを自社の業務に導入した。そして「Cybersecurity Tech Accord」による最初の公式なアクションは、大規模なルーティングセキュリティへの取り組みの一環としてMANRSを支持することだった。

また、「Cybersecurity Tech Accord」とMANRSは、ネットワークオペレータやインターネット交換プロバイダ以外の企業がルーティングセキュリティにどのように貢献できるかを明らかにするためのワーキンググループを設立してもいる。

Microsoft社社長のBrad Smith氏は2018年のRSAセキュリティカンファレンスで「Cybersecurity Tech Accord」を発表した。参加企業はサイバー犯罪者や国家による攻撃から顧客を保護し、政府がサイバー攻撃を仕掛けるのを支援しないことを誓約している。

Microsoft Takes On Internet Routing Security