ZscalerはすべてのデータセンターにRPKIを実装します

目次

1. はじめに
2. Trust Portalの記事
3. RPKIとは何か？
4. RPKIを使うと何が嬉しいのか？
4.1 BGP Hijackingの対策
4.2 BGP誤広告やルートリークを素早く防げる仕組み
5. ZscalerのRPKI展開状況
6. まとめ
7. 0-WANについて

1. はじめに

こんにちは、エーピーコミュニケーションズ iTOC事業部BzD部0-WANの嘉藤です。

ZscalerがTrust PortalでRPKI展開についての情報を公開しました。

本記事では、そこに記載された内容をベースとして、RPKIという仕組みの概要から、ROA・ROVの関係、導入によって期待されるセキュリティ効果について整理しました。「RPKIって何？」という方にも読みやすいよう、基本的な仕組みから順を追ってご紹介します。
ZscalerのRPKI展開状況を把握するため、代表的な２つのAS（AS53813およびAS62044）を対象に、展開前後のROAステータスを追ってみました。

これに関してZscaler利用者が特別に対応いただく必要はありませんが、ZscalerのSSE基盤における経路制御や信頼性向上への取り組みを知るための情報として、参考になれば幸いです。

2. Trust Portalの記事

今回取り上げた記事は以下のリンク先にあります。
https://trust.zscaler.com/zscalerthree.net/security-advisories

Zscaler will implement RPKI for all datacenters
Posted: Fri, 25 Jul 2025

Customer Impact: no expected impacts.
Description:
Description

Zscaler will rollout RPKI (Resource Public Key Infrastructure) for all datacenters across three Regional Internet Registries (RIRs) - Americas (ARIN Region), Europe & Middle East (RIPE Region), and Asia-Pacific (APNIC Region). The rollout starts on 2025-08-01 and completion is expected by 2025-08-03. There is no expected service impacts nor traffic pattern changes during and after roll out.

3. RPKIとは何か？

• RPKIとは
  RPKI（Resource Public Key Infrastructure）
  インターネットのルーティングで使われるBGP経路が“正しい持ち主”によって広告されているかを確認する仕組みです。

  Web PKIを利用したTLS通信と比較するとイメージしやすいかと思います。
  

• ROAとは
  ROA（Route Origin Authorization）
  あるIP Prefixに対して「どのAS番号がこの経路を広告してもいいか」を証明するデジタル署名付きの記録です。これはRPKIの核となる要素で、IP Prefixの持ち主がその広告権限を公式に宣言できる仕組みです。

  bgp.he.net を用いた Zscaler(AS53813, Prefix 165.225.120.0/23)におけるROA Statusの確認例を以下に示します。
  
  AS53813による 165.225.120.0/23 の広告は、ROAによって署名されており（ROA Signed and Valid：RPKI署名済みで、有効なROAが存在）、RPKI ValidatorによってVALIDと判定されます。これはBGP経路が本来のオリジンAS(Zscaler)から正当に広告されていることを意味します。

国際的なROAの普及状況は、米国国立標準技術研究所（NIST）のRPKI monitor¹で見ることができます。

2025年8月:IPv4の経路情報のうちROAでカバーされている（かつValidと判定されている）のは56.56%となっています（NIST RPKI Monitorより）

JPNICブログ²を参照したところ、2022年7月の値は38.08%であり、継続的な増加傾向が見られます（3年でおよそ1.5倍に増加しています）。

• ROVとは
  ROV (Route origin validation)
  ROAの情報を用いて、BGP広告された経路の「発信元AS番号」が、IP Prefixに対して正当かどうかを検証する仕組みです。

Routinator³を使って手動でROVを行ってみます。Zscaler(AS53813, Prefix 165.225.120.0/23)を例として確認します。

RPKIデータベースからVRPs（Validated ROA Payloads）を参照し、指定したASとIP Prefixが、ROAポリシーに沿って正当な経路情報であると判断されるとVALIDとなります。

4. RPKIを使うと何が嬉しいのか？

これに関しては、Zscaler Trust Portal の"What To Expect"に書いてあります。

What To Expect

Integrity & Trust at the Network Level: Your connection to Zscaler services is safer from errors and cyberattacks that hijack or reroute internet traffic.
More Reliable Access: Traffic that's supposed to go to Zscaler goes to Zscaler - no detours, no slowdown.

インターネット上で悪意のある者がZscalerになりすますことがないようにBGP Hijackingの対策を講じているだけでなく、BGPの誤広告やルートリークの早期検知・遮断が可能になるという意味もあります。

4.1 BGP Hijackingの対策

Cloudflare社が、BGP Hijackingの対策有無による効果を分かり易く説明されていますので以下のサイトをご確認ください。
https://isbgpsafeyet.com/
What’s a BGP hijack?

• RPKI未対応の場合
  通常のトラフィックフロー：Laptop → ISP → Transit → Cloud → Web resource

[Hijack the request] ボタンを押下すると、RPKI未対応の場合別のサイトに誘導されていることが分かります。
BGP Hijacking後：Laptop → ISP → Hijacker → Malicious Website

• RPKI対応の場合
  通常のトラフィックフロー：Laptop → ISP → Transit → Cloud → Web resource

[Attempt to hijack] ボタンを押下すると、ハイジャックを試みられても、その影響を受けることなく安全に経路を維持することができます。

BGP Hijacking無効化：Laptop → ISP → Transit → Cloud → Web resource

4.2 BGP誤広告やルートリークを素早く防げる仕組み

悪意はないが人為的なミスなどにより、BGPで誤広告があると通信への影響が生じる場合もあります。

• 影響を受ける場合(RPKI未対応)
  RPKI未対応のTier-1プロバイダーなどが誤広告を受け入れてしまい、一部地域でブラックホール化やルートリークが生じます。これらは正当な経路と誤認されるため、遮断が行われず、結果として重大な通信障害に発展することが考えられます。

• 影響を受けない場合(RPKI対応済み)
  RPKI対応ルーターが誤広告を受信し、ROAと照合して広告ASが一致しないため"INVALID"と判定となり、ポリシーによってINVALID をフィルター(遮断)することで、不正経路はルーティングテーブルに載らないため通信影響が発生しません。

以下の事例は、LPM(Longest Prefix Match)が誤広告に対してどのように作用するか、そしてRPKIがそれを防ぐ上でどれほど重要であるかを示す代表的なケースです。
2024年6月27日に発生したCloudflare 1.1.1.1のインシデント⁴

ZscalerがRPKIを導入することで、自社の通信経路（Zscalerがインターネットに発信する情報の通り道）が正しく認識されるようになります。
それによって、他のネットワーク事業者もZscalerの経路を信頼し、偽装された経路を見分けやすくなります。
結果として、Zscaler自身だけでなく、インターネット全体の安全性が向上します。

5. ZscalerのRPKI展開状況

Zscalerが作業をされる前にデータ集計をしておくべきでした。数値として手元に残っていませんが、RPKI Status がVALIDになっているPrefixesは0ではなく、少ないですが幾つかありました。
これは、ZscalerはRPKIをいくつかのDCで展開していたということを意味します。

完全に0からの開始ではないとは言え、たったの三日で展開完了できるのか？という疑問もあり、Zscalerの代表的なAS番号でRPKIの展開状況を確認してみました。
https://bgp.he.net/AS53813#_prefixes
https://bgp.he.net/AS62044#_prefixes

初回データ収集を実施した時間が8/1の夜なので、既に若干展開されています。

• AS53813(203 Prefixes)
  2025年8月1日19:48時点、VALID 77(37.9%)、NOT-FOUND 126(62.1%)
• AS62044(358 Prefixes)
  2025年8月1日19:48時点、VALID 213(59.5%)、NOT-FOUND 145(40.5%)

RPKI Status : VALIDが若干存在しているのは、Europe(RIPE region)がこれらのASに比較的多く含まれており、データ収集時点で既に展開が始まっていたためと考えられます。
bgp.he.netでprefixesを見ると右端に「スイスの国旗とアメリカの国旗のアイコンが多くあること」に気づくと思います。この国旗はどこのRIRで登録しているかを表しています。

Phase 1: Europe & Middle East - RIPE region - 2025-08-01.

その後、Phase2、Phase3で Asia-Pacific(APNIC region)、Americas(ARIN region)が展開されます。

Phase 2: Asia-Pacific - APNIC region - 2025-08-02.
Phase 3: Americas - ARIN region - 2025-08-03.

8/4(UTC 8/4 01:00)に再度データ収集するとほぼ展開が完了しています。

• AS53813(203 Prefixes)
  2025年8月4日10:08時点、VALID 201(99.0%)、NOT-FOUND 2(1.0%)
• AS62044(358 Prefixes)
  2025年8月4日10:08時点、VALID 354(98.9%)、NOT-FOUND 4(1.1%)

6. まとめ

RPKIは、BGPの経路制御における信頼性と整合性を確保する鍵となる技術です。
ZscalerがTrust Portalで公開した情報は、経路管理に関連する課題への対応の方向性や、その取り組みの概要を示しており、RPKI導入の意図や重要性を読み取る手がかりになるかと思います。
本記事を通じて、BGP Hijackingや誤広告のリスクに対して、RPKIがどのように機能し、インターネット通信の安全性を高めているのかをご理解いただければ幸いです。

今後もZscalerがSSE基盤において信頼性と安全性の向上を追求していく中で、RPKIはますます重要な役割を果たしていくでしょう。

7. 0-WANについて

私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。 ゼロトラストってどうやるの？製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。 お気軽にご相談ください。
問い合わせ先、0-WANについてはこちら。
https://www.ap-com.co.jp/0-wan/

1. RPKI monitor https://rpki-monitor.antd.nist.gov/ ↩

2. RPKIとは何か ～起源といま～ https://blog.nic.ad.jp/2022/7714/ ↩

3. Routinator https://rpki-validator.ripe.net/ ↩

4. 2024年6月27日に発生したCloudflare 1.1.1.1のインシデント https://blog.cloudflare.com/ja-jp/cloudflare-1111-incident-on-june-27-2024/ ↩