米国 連邦通信委員会 (FCC) インターネット・ルーティングのセキュリティ報告要件を提案

こんにちは、丸山満彦です。

連邦通信委員会 (FCC)が、インターネット・ルーティング・セキュリティの改善を目的とした報告要件を提案していますね。。。

 

● Federal Communications Commission; FCC

・2024.06.06 FCC Proposes Internet Routing Security Reporting Requirements

・・[DOCX] [PDF][TXT]

FCC Proposes Internet Routing Security Reporting Requirements	FCC、インターネット・ルーティングのセキュリティ報告要件を提案
FCC PROPOSES REPORTING REQUIREMENTS TARGETED TO IMPROVING INTERNET ROUTING SECURITY	FCCはインターネット・ルーティング・セキュリティの改善を目的とした報告要件を提案する。
Broadband Providers Would Create BGP Security Plans and	ブロードバンドプロバイダはBGPセキュリティ計画を作成し
Largest Providers Would Also File Quarterly Reports on BGP Risk Mitigation Progress	最大プロバイダはBGPリスク低減の進捗状況を四半期ごとに報告する。
--	--
WASHINGTON, June 6, 2024—The Federal Communications Commission today proposed action to help protect America’s communications networks against cyberattacks by improving internet routing security.  The Commission’s proposal would require broadband providers to create confidential reports on the steps they have taken, and plan to undertake, to mitigate vulnerabilities in the Border Gateway Protocol (BGP), the technical protocol used to route information across the internet.  The nation’s largest broadband providers would also be required to file specific public data on a quarterly basis demonstrating their BGP risk mitigation progress. Today’s proposal would promote more secure internet routing and provide the Commission and its national security partners with up-to-date information on this critical issue.	2024年6月6日、ワシントン-連邦通信委員会は本日、インターネット・ルーティング・セキュリティの改善を通じて、米国の通信ネットワークをサイバー攻撃から保護するための措置を提案した。 同委員会の提案は、ブロードバンド・プロバイダーに対し、インターネット上で情報をルーティングするための技術プロトコルであるBGP（Border Gateway Protocol）の脆弱性を低減するために講じた措置および講じる予定の措置に関する極秘報告書の作成を義務付けるものである。 また、全米最大のブロードバンド・プロバイダーは、BGPリスク低減の進捗状況を示す特定の公開データを四半期ごとに提出することが義務付けられる。本日の提案は、より安全なインターネット・ルーティングを促進し、欧州委員会とその国家安全保障上のパートナーに、この重要な問題に関する最新情報を提供するものである。
BGP’s initial decades-old design, which remains widely deployed today, does not include intrinsic security features to ensure trust in the information that is relied upon to exchange traffic among independently managed networks on the internet.  BGP national security experts have raised concerns that a bad network actor may deliberately falsify BGP reachability information to redirect traffic.  These “BGP hijacks” can expose Americans’ personal information; enable theft, extortion, and state-level espionage; and disrupt services upon which the public or critical infrastructure sectors rely.	数十年前に設計され、現在も広く導入されているBGPには、インターネット上で独立に管理されるネットワーク間でトラフィックを交換する際に信頼される情報の信頼性を確保するための本質的なセキュリティ機能は含まれていない。 BGPの国家安全保障の専門家は、悪質なネットワーク・アクターがトラフィックをリダイレクトするために意図的にBGP到達可能性情報を改ざんする可能性があるという懸念を表明している。 このような「BGPハイジャック」は、アメリカ人の個人情報を暴露したり、窃盗、恐喝、国家レベルのスパイ活動を可能にしたり、公共部門や重要インフラ部門が依存するサービスを妨害したりする可能性がある。
To help address these vulnerabilities, the Commission today adopted a Notice of Proposed Rulemaking proposing that:	このような脆弱性に対処するため、欧州委員会は本日、以下の事項を提案する提案通知を採択した：
· Broadband internet access service providers prepare and update confidential BGP security risk management plans at least annually.  These plans would detail their progress and plans for implementing BGP security measures that utilize the Resource Public Key Infrastructure (RPKI), a critical component of BGP security.	・ブロードバンド・インターネットアクセス・サービス・プロバイダは、少なくとも年1回、極秘のBGPセキュリティ・リスクマネジメント計画を作成し、更新する。 これらの計画には、BGPセキュリティの重要な要素であるリソース公開鍵基盤（RPKI）を利用したBGPセキュリティ対策の実施に関する進捗状況と計画が詳細に記載される。
· The nine largest broadband providers file their BGP plans confidentially with the Commission as well as file quarterly data available to the public that would allow the Commission to measure progress in the implementation of RPKI-based security measures and assess the reasonableness of the BGP plans.  These large providers would not have to file subsequent detailed plans with the Commission if they met a certain security threshold.	・大手ブロードバンドプロバイダー9社は、BGP計画を秘密裏に欧州委員会に提出し、また、欧州委員会がRPKIベースのセキュリティ対策の進捗状況を測定し、BGP計画の妥当性を評価できるように、四半期ごとに一般公開されるデータを提出する。 これらの大規模プロバイダは、一定のセキュリティ基準を満たせば、その後の詳細な計画を委員会に提出する必要はない。
· Smaller broadband providers would not be required to file their plans with the Commission but rather make them available to the Commission upon request.	・小規模のブロードバンドプロバイダーは、委員会に計画を提出する必要はなく、委員会の要求に応じて、計画を提出することになる。
The Commission is seeking public comment on these proposals and other measures related to implementing RPKI-based security.  In taking today’s action, the Commission recognized the efforts of multiple stakeholders over the past twenty years to address BGP vulnerabilities but noted that more work needs to be done to secure internet routing, which is critical to public safety and national security.	欧州委員会は、これらの提案およびRPKIベースのセキュリティ導入に関するその他の措置について、パブリックコメントを求めている。 欧州委員会は、本日の措置において、BGPの脆弱性に対処するための過去20年間にわたる複数の利害関係者の努力を認めつつも、公共の安全と国家の安全保障に不可欠なインターネット・ルーティングの安全性を確保するためには、さらなる取り組みが必要であることを指摘した。
Action by the Commission June 6, 2024 by Notice of Proposed Rulemaking (FCC 24-62).  Chairwoman Rosenworcel, Commissioners Carr, Starks, Simington, and Gomez approving.  Chairwoman Rosenworcel and Commissioner Starks issuing separate statements.	2024年6月6日、提案された規則作成通知（FCC 24-62）による委員会の措置。 Rosenworcel委員長、Carr委員、Starks委員、Simington委員、Gomez委員が承認する。 Rosenworcel委員長とStarks委員はそれぞれ声明を発表している。

 

 

---

ジェシカ・ローゼンウォーセル委員長の声明

・2024.06.06 FCC Proposes Internet Routing Security Reporting Requirements

・・[DOCX][PDF][TXT]

FCC Proposes Internet Routing Security Reporting Requirements	FCC、インターネット・ルーティングのセキュリティ報告要件を提案
STATEMENT OF	声明
CHAIRWOMAN JESSICA ROSENWORCEL	ジェシカ・ローゼンウォーセル委員長
Re:     Reporting on Border Gateway Protocol Risk Mitigation Progress, PS Docket No. 24-146; Secure Internet Routing, PS Docket No. 22-90, Notice of Proposed Rulemaking (June 6, 2024).	Re：     ボーダー・ゲートウェイ・プロトコルのリスク低減進捗状況の報告、PS Docket No.24-146; Secure Internet Routing、PS Docket No.22-90、 Notice of Proposed Rulemaking (June 6、 2024).
A few months ago I hosted a conversation with Vint Cerf, one half of the team that developed the protocol that allows computers to talk to one another.  For this he is often described as the “Father of the Internet.”  We had a joyous back-and-forth about the origins and open architecture of the internet.  So I asked him to reflect for a moment.  What was it that he wished he had known back then when it all started?  He responded without skipping a beat.  He told me he wished he had known that the internet would need more security.	数ヶ月前、私はヴィント・サーフ氏との対談を催した。サーフ氏は、コンピューターが互いに会話するためのプロトコルを開発したチームの片割れである。 彼はしばしば "インターネットの父 "と称される。 私たちは、インターネットの起源とオープン・アーキテクチャについて、楽しいやりとりをした。 そこで、私は彼に少し考えるように頼んだ。 インターネットが始まった当時に知っておきたかったことは何だろう？ 彼は寸分の狂いもなく答えた。 インターネットにはもっとセキュリティーが必要だと知っていればよかったと。
Amen.  We have come to rely on the internet for nearly everything in our lives.  Ensuring that internet traffic is secure is essential.	アーメン。 私たちは生活のほとんどすべてをインターネットに頼るようになった。 インターネット・トラフィックの安全性を確保することは不可欠である。
That is where Border Gateway Protocol comes in.  BGP manages how packets of data get transmitted between networks.  It is central to the global routing system of the internet because it is the protocol that allows independently managed networks to send traffic to one another.	そこで登場するのがボーダー・ゲートウェイ・プロトコルだ。 BGPは、データのパケットがネットワーク間でどのように転送されるかを管理する。 BGPはインターネットのグローバル・ルーティング・システムの中心であり、独立に管理されたネットワークが相互にトラフィックを送信するためのプロトコルだからだ。
That means we all rely on BGP.  Every one of us, every day.  That is true if you are running a small business and using connections to engage with customers and suppliers, banking online, having a telemedicine session with a healthcare provider, helping the kids with their digital age schoolwork, staying in touch with family, or keeping up to date on the news.  BGP is in the background, helping connect our critical infrastructure, support emergency services, keep the financial sector running, shore up manufacturing, and more.	つまり、私たちは皆BGPに依存している。 私たち全員が、毎日。 それは、あなたが中小企業を経営し、顧客やサプライヤとのエンゲージメント、オンラインバンキング、医療プロバイダとの遠隔医療セッション、子供たちのデジタル時代の学校の勉強の手伝い、家族との連絡、ニュースの最新情報を得るために接続を使用している場合にも当てはまる。 BGPは、私たちの重要なインフラを接続し、緊急サービスをサポートし、金融セクターを稼働させ、製造事業者を補強するなど、さまざまな場面で活躍している。
You might be surprised to learn that something so critical in the modern economy has pretty humble origins.  This history is why BGP is sometimes called the “three napkin protocol.”  As the story goes, back in 1989, the internet, then a novelty for computer scientists like Vint Cerf, was expanding—fast.  But the internet’s basic protocols at the time could not handle this growth.  So on their lunch break from an Internet Engineering Task Force meeting in Austin, Texas, a pair of engineers sketched out the ideas for BGP on three ketchup-stained paper napkins.  What was meant to be a short-term solution developed on the sidelines of an internet engineering conference is still with us today.	現代経済において非常に重要なものが、かなり地味な起源を持っていることに驚くかもしれない。 BGPが "スリーナプキン・プロトコル "と呼ばれる所以である。 1989年当時、インターネットはヴィント・サーフのようなコンピューター科学者にとって目新しく、急速に拡大していた。 しかし、当時のインターネットの基本プロトコルはこの成長に対応できなかった。 そこで、テキサス州オースティンで開催されたインターネット技術タスクフォースの会議の昼休みに、2人組のエンジニアがケチャップで汚れた紙ナプキン3枚にBGPのアイデアをスケッチした。 インターネット・エンジニアリング・カンファレンスの傍らで開発された短期的なソリューションのつもりが、今日でも私たちの手元にある。
While BGP has allowed network operators to grow and evolve the modern internet, it was not designed with explicit security features to ensure trust in exchanged information.  That means bad actors can use this protocol to maliciously misdirect and exploit internet traffic.  I want to thank the Cybersecurity and Infrastructure Security Agency at the Department of Homeland Security for working with my office and jointly holding a BGP public forum to discuss this problem.  I also want to thank the Department of Defense and Department of Justice for publicly disclosing in our record that China Telecom used BGP vulnerabilities to misroute United States internet traffic on at least six occasions.  These “BGP hijacks” can expose personal information, enable theft, extortion, and state-level espionage.  They can also disrupt sensitive transactions that require security, like those in the financial sector.	BGPのおかげでネットワーク・オペレーターは現代のインターネットを成長させ、進化させることができたが、交換された情報の信頼性を保証する明確なセキュリティ機能は設計されていなかった。 つまり、悪意ある行為者がこのプロトコルを使って、インターネット・トラフィックを悪意を持って誘導し、悪用することができるのだ。 国土安全保障省のサイバーセキュリティ・インフラセキュリティ保障庁が私のオフィスと協力し、この問題を議論するためにBGP公開フォーラムを共同で開催してくれたことに感謝したい。 また、国防総省と司法省が、チャイナテレコムがBGPの脆弱性を利用して少なくとも6回にわたり米国のインターネットトラフィックをミスルートしていたことを我々の記録で公表してくれたことにも感謝したい。 こうした「BGPハイジャック」は、個人情報を暴露し、窃盗、恐喝、国家レベルのスパイ活動を可能にする。 また、金融セクターのようなセキュリティを必要とする重要な取引を妨害する可能性もある。
For all of these reasons, today we begin a rulemaking to help make our internet routing more secure.  We propose that all providers of broadband internet access service prepare and update confidential BGP security risk management plans.  These plans would describe and attest to their efforts to follow existing best practices with respect to Route Origin Authorizations and Route Origin Validation using the Resource Public Key Infrastructure.  In addition, we propose quarterly reporting for the largest providers to ensure we are making progress addressing this well-known vulnerability.	これらの理由から、我々は本日、インターネット・ルーティングの安全性を高めるためのルール作りを開始する。 ブロードバンドインターネットアクセスサービスを提供するすべてのプロバイダが、機密のBGPセキュリティリスク管理計画を作成し、更新することを提案する。 これらの計画は、Resource Public Key Infrastructureを使用したRoute Origin AuthorizationsおよびRoute Origin Validationに関して、既存のベストプラクティスに従う努力を説明し、証明するものである。 さらに、このよく知られた脆弱性への対処が進んでいることを確認するため、最大手のプロバイダに対して四半期ごとの報告を提案する。
...	...

 

 

---

ジェフリー・スタークス委員の声明

・2024.06.06 FCC Proposes Internet Routing Security Reporting Requirements

・・[DOCX][PDF][TXT]

 

FCC Proposes Internet Routing Security Reporting Requirements	FCC、インターネット・ルーティング・セキュリティ報告要件を提案
STATEMENT OF	声明
COMMISSIONER GEOFFREY STARKS	ジェフリー・スタークス委員
Re:     Reporting on Border Gateway Protocol Risk Mitigation Progress, Notice of Proposed Rulemaking, PS Docket No. 24-146; Secure Internet Routing, PS Docket No. 22-90.	Re：     ボーダー・ゲートウェイ・プロトコルのリスク低減の進捗状況の報告、規則制定提案公告、PS Docket No.24-146、セキュア・インターネット・ルーティング、PS Docket No.22-90。
Border Gateway Protocol is the mechanism that enables our Internet service providers (ISPs) to route traffic throughout the variety of networks that, when combined, make up the Internet.  I’ve been focused on this since 2022, when I sat down with a group of the largest ISPs in America to discuss the challenges surrounding Internet routing.  So, trust me when I tell you that it is vitally important that BGP is secure and we get it right.	ボーダー・ゲートウェイ・プロトコルは、インターネット・サービス・プロバイダ（ISP）が、インターネットを構成するさまざまなネットワークを通じてトラフィックをルーティングするための仕組みである。 私は、2022年にアメリカ最大のISPのグループとインターネット・ルーティングをめぐる課題について議論して以来、この問題に注目してきた。 だから、BGPが安全であることが極めて重要であり、私たちがそれを正しく理解することが重要だと言ったら、私を信頼してほしい。
As with most of the underlying protocols that make the Internet work, it was unfortunately not designed with security in mind.  Accidental or malicious actions that send erroneous routing traffic information can make networks unavailable, or worse, can be used to redirect traffic to allow for cyberattacks, data theft, or espionage.  For example, in 2008, YouTube was rendered inaccessible for much of the world after Pakistan attempted to block access to it within its borders by modifying YouTube’s BGP routes.  Russia took advantage of BGP vulnerabilities to limit access to Twitter as part of its invasion of Ukraine.  And China Telecom misdirected 15% of the world’s Internet traffic, and routed domestic United States Internet traffic through China, by hijacking BGP.	インターネットを機能させる基礎となるプロトコルのほとんどがそうであるように、残念ながらBGPはセキュリティを念頭に置いて設計されていない。 誤ったルーティング・トラフィック情報を送信する事故や悪意のある行為によって、ネットワークが利用できなくなったり、最悪の場合、トラフィックをリダイレクトしてサイバー攻撃やデータ窃盗、スパイ行為に利用されたりする可能性がある。 例えば、2008年、パキスタンがYouTubeのBGPルートを変更することで、国境内でのアクセスをブロックしようとしたため、YouTubeは世界の多くの地域でアクセス不能となった。 ロシアはBGPの脆弱性を利用し、ウクライナ侵攻の一環としてツイッターへのアクセスを制限した。 また、チャイナテレコムはBGPをハイジャックすることで、世界のインターネットトラフィックの15％を誤送信し、米国内のインターネットトラフィックを中国経由にした。
The good news is experts have developed tools and strategies to enhance BGP security.  A group of ISPs working together at the Mutually Agreed Norms for Routing Security, or “MANRS,” created one such tool, Routing Public Key Infrastructure (RPKI), which is a public database of authenticated BGP routes and the gold standard of protecting Internet routing.	良いニュースは、専門家がBGPのセキュリティを強化するためのツールと戦略を開発したことだ。 MANRS（Mutually Agreed Norms for Routing Security：ルーティング・セキュリティのための相互合意規範）」で協力しているISPのグループは、そのようなツールの1つであるRPKI（Routing Public Key Infrastructure：ルーティング・パブリック・キー・インフラ）を作成した。
That’s where our Notice comes in.  In proposing that ISPs providing broadband Internet access service create BGP security risk management plans, ISPs that otherwise have not yet begun the process to deploy BGP mitigations will do so.  In proposing to measure RPKI deployment, we will help inform both the private and public sectors about what more needs to be done to secure our networks.  Our actions are part of a multi-pronged approach throughout the government.  It is also consistent with Initiative 4.1.5 of the National Cybersecurity Strategy Implementation Plan, which tasks the Office of the National Cyber Director, along with stakeholders and government agencies, to develop a roadmap to increase adoption of secure Internet routing techniques including BGP security.	そこで我々の通達の出番となる。 ブロードバンドインターネットアクセスサービスを提供するISPがBGPセキュリティリスクマネジメントプランを作成することを提案することで、まだBGP緩和策を展開するプロセスを開始していないISPは、BGP緩和策を展開することになる。 RPKIの展開を測定することを提案することで、ネットワークの安全性を確保するためにさらに何を行う必要があるかについて、民間部門と公共部門の両方に情報を提供する一助となる。 私たちの行動は、政府全体にわたる多方面からのアプローチの一部である。 また、国家サイバーセキュリティ戦略実施計画のイニシアティブ4.1.5にも合致している。このイニシアティブでは、国家サイバー局長室が利害関係者や政府機関とともに、BGPセキュリティを含む安全なインターネットルーティング技術の採用を拡大するためのロードマップを策定することを課題としている。
I thank the Chairwoman for her ongoing leadership in securing Internet routing, and for accepting my edits to make sure we ask questions about how our efforts can promote accountability among stakeholders, support the development of open standards setting solutions, such as RPKI, understand how network architecture plays into BGP security and RPKI deployment, and ensure that our efforts promote risk-based routing security among ISPs.	インターネット・ルーティングの安全性確保においてリーダーシップを発揮し続けている議長に感謝するとともに、我々の取り組みがステークホルダー間の説明責任をどのように促進できるか、RPKIなどのオープンな標準設定ソリューションの開発をどのように支援できるか、ネットワーク・アーキテクチャがBGPセキュリティやRPKIの展開にどのように関与しているかを理解し、我々の取り組みがISP間でリスクベースのルーティング・セキュリティを促進することを確認するために、私の編集を受け入れてくれたことに感謝する。
I look forward to continuing to engage with stakeholders and following the record closely. Protecting routing security will require an all-hands-on-deck approach from all stakeholders.  Thank you to the Commission staff working on this complicated proceeding.  I approve.	利害関係者との関わりを継続し、記録を注意深く追っていくことを楽しみにしている。ルーティングセキュリティの防御には、すべての利害関係者が総力を挙げて取り組む必要がある。 この複雑な手続きに取り組んでいる欧州委員会のスタッフに感謝する。 承認する。