RPKIは電子証明書を使って、インターネット上の経路の安全性を高める技術である。
インターネットでルーティングに利用するプロトコルであるBGPには、流れてくる経路情報の正当性を確認する仕組みがない。ルーターは間違った経路情報でもそのままルーティングテーブルに反映するので、本来はありえない方向にトラフィックが流れてしまう。この問題を突いて、悪意ある攻撃者が経路を変更する攻撃(経路ハイジャック)が増加している。
RPKIは、渡される経路情報の正当性を電子証明書で検証し、経路ハイジャックを防ぐ。しかし、これまで国内ではRPKIの電子証明書を発行するシステムはなかった。そこで、簡易な操作で電子証明書を発行し、経路情報の正しさを確認する情報を登録できる「RPKIシステム」の試験提供を、日本国内のIPアドレス管理団体であるJPNICが2015年3月に始めた(図)。これは、同団体が所有するIPアドレス管理データベースなどと連携することで実現している。
RPKIシステムの利用の流れは、以下の通り。ある組織(プロバイダーA)がWebブラウザーからRPKIシステムにアクセスし、電子証明書(リソース証明書)と、「ROA(Route Origin Authorization)」というデータを生成する。これらはJPNICが用意したデータベース(リポジトリー)に、自動で登録される。リポジトリーは全世界で複数の組織が運用している。間違った経路情報の受信を防止したい組織(プロバイダーB)では、ルーターにROAパブリックキャッシュを参照するよう設定する。
2014年には、JPNICとインターネットマルチフィードにより、RPKIシステムと連携して経路情報が正しいかを確認するためのデータベース「RPKI ROAパブリックキャッシュ」も公開された。国内でRPKIを試せる環境が、次第に整ってきたといえる。
