Internet Infrastructure Review（IIR）Vol.41
2018年12月19日発行

1. 定期観測レポート

IIJインフラから見るインターネットの傾向

IIJではインターネットサービスを提供するために、国内でも有数規模のネットワーク・サーバインフラを運用しています。ここでは、IIJのインフラ運用を通じて得られた情報を元に、現在のインターネットがどのような傾向を持っているのかを検討し、紹介します。

取り上げるテーマは、ネットワークの経路情報、DNS問い合わせ情報、IPv6利用状況、モバイル接続サービス利用状況です。また、IIJのトラフィックの大部分を支えるバックボーンネットワークの現状についてもあわせて報告します。

Theme 01 BGP・経路数

表-1「 IPv4 フルルート」に含まれるプレフィクス長ごとの経路数の推移

拡大する

経路総数は過去8年間で最大の増加となり70万経路を超えました。またプレフィクス長ごとで見ると/22及び/23経路の増加率が10%を超えており、これらに/24経路を足した計3プレフィクスで経路増加数の89%、経路総数の79%を占めるまでになりました。移転を目的としたアドレスブロックの分割が更に進むに従ってこれらのプレフィクスの占める割合がどこまで伸びるのか、今後も注視したいと思います。

次に「IPv6フルルート」の情報を確認します（表-2）。こちらも経路総数は過去8年間で最大の増加となりました。但し総数の74%はプレフィクス長が/33 ～/48の経路で占められ、更にその76%以上は割り振り（/割り当て）ブロックを分割しての経路広報によるものと計算されます。経路数はIPv6普及の目安の1つになりますのでその増加は望ましいことですが、分割広報が全体の半数を超える現状は「経路広報を集約することで経路表の増大を抑制する」という初期にあったIPv6の理想（?）から程遠く、少々残念でもあります。

表-2「 IPv6 フルルート」に含まれるプレフィクス長ごとの経路数の推移

拡大する

最後に追加で「IPv4/IPv6フルルート」広報元AS（Origin AS）の数も見ておきましょう（表-3）。IANAの16-bit AS番号poolが2016年7月に枯渇していることもあり、16-bit AS番号のOrigin AS数は同年から減少に転じています。一方の32-bit only AS番号（2007年1月割り当て開始）のOrigin AS数は順調に増加を続けていますがその大多数はIPv4のみで運用されているようです。これは、IPv4アドレス在庫が既に枯渇した状況下でAS番号を取得しBGP運用を開始したであろう新規組織であっても多くはIPv6の利用を考慮しない、という問題を示していると考えられ、IPv6の普及はまだまだ先が長いという現状が見て取れます。とはいえIPv4アドレスの取得がこの先より難しくなっていくであろうことは間違いありませんのでこの状況が今後も継続するのか否か、こちらも注視していきたいと思います。

表-3「 IPv4/IPv6 フルルート」の広報元AS数の推移

拡大する

Theme 02 DNS

IIJでは利用者がDNSの名前解決を利用できるようフルリゾルバを提供しています。この項では名前解決の情況を解説し、IIJで2018年5月17日に行ったフルリゾルバの1日分の観測データから、主にコンシューマサービス向けに提供しているサーバのデータに基づいて分析と考察を行います。

ISPは接続種別に応じてPPPやDHCP、RA、PCOなどの通知手段を利用してフルリゾルバのIPアドレスを利用者に伝え、利用者が名前解決用のフルリゾルバを端末で自動設定できるようにしています。ISPは複数のフルリゾルバを利用者に伝えられる他、利用者は自身でOSやWebブラウザなどの設定を変更して利用するフルリゾルバを指定、追加することもできます。端末に複数のフルリゾルバが設定されている場合、どれを利用するかは端末の実装やアプリケーションに依存するため、フルリゾルバ側では利用者が総量としてどの程度の問い合わせを行っているか分かりません。このため、フルリゾルバでは問い合わせ動向を注視しながら、常に処理能力に余裕を持たせて運用する必要があります。

IIJが提供するフルリゾルバの観測データを見てみると、利用者の利用傾向を示すように時間帯によって問い合わせ量が変動し、朝4時頃に問い合わせ元のIPアドレス当たり最小の0.05query/sec、昼13時頃にピークを迎えて0.22query/sec程度になっています。問い合わせ傾向を通信に使われたIPv4とIPv6のIPプロトコル別に見てみると日中は大きな違いはなくほぼ同じ傾向を示している一方、夜20時以降はIPv6でIPアドレス当たりの問い合わせが増える傾向が見えています。家庭でIPv6が利用できる環境が整備されてきていることを示唆していると考えています。

近年の特徴的な傾向として、毎正時などキリの良い時刻に一時的に問い合わせが増加しています。問い合わせ元数も同時に増えているため、利用者の端末でタスクをスケジュールしたり、目覚まし機能などで端末が起動することに伴う機械的なアクセスが原因ではないかと推測しています。これをもう少し細かく分析すると、毎正時の14秒前にも問い合わせが増加しています。毎正時後は増加後、緩やかに問い合わせ量が減っていくのに比べて、毎正時の14秒前の増加では直ぐにそれまでの問い合わせ量程度に戻っています。つまり多くの端末が綺麗に同期して問い合わせを行っていることから、何かすぐに完了する軽量なタスクが実行されているのではないかと推測しています。例えば何らかの実装で接続確認や時刻同期など基本的なタスクを本格的なスリープ解除前に終わらせる機構があり、これに利用している問い合わせなどが影響していると考えています。

問い合わせレコードタイプに注目すると、ホスト名に対応するIPv4アドレスを問い合わせるAレコードとIPv6アドレスを問い合わせるAAAAレコードがほとんどを占めています。昨年と比べるとANYタイプの問い合わせが減少しています。

これはANYタイプの問い合わせが反射攻撃などに悪用され、IETFで対策の議論も続いているなどの現状があり、段々と利用されなくなってきているためだと考えています。問い合わせのIPプロトコルごとに傾向を見ると、IPv6による問い合わせが問い合わせ元IP数、実際の問い合わせ数共にIPv4よりも多くなっています。AとAAAAの問い合わせ傾向は通信に利用されるIPプロトコルで違いが見られ、IPv6での問い合わせではより多くのAAAAレコード問い合わせが見られます。IPv4での問い合わせでは、全体の87%程度がAレコード問い合わせ、11%程度がAAAAレコード問い合わせです（図-2）。一方IPv6での問い合わせでは、全体の54%程度がAレコード問い合わせ、45%程度がAAAAレコード問い合わせとAAAAレコード問い合わせの比率が高まっています（図-3）。

Theme 03 IPv6

前回IPv6の状況についてお伝えした「Internet Infrastructure Review Vol.37」からおよそ1年が経過しました。今回も、IPv6のトラフィックがIIJバックボーン全体でどれくらいの流量なのか、及び主に利用されているプロトコルは何か、解説します。また、今回は特にIPv6トラフィックが増加しているモバイルサービスのトラフィックについて、現状と要因を考察します。

トラフィック

前回同様、IIJのコアPOP（東京・大阪・名古屋）のバックボーンルータで計測した、IPv4トラフィックとIPv6トラフィックを図-4に示します。期間は2017年10月1日から2018年9月30日までの1年間です。IPv4のトラフィックはこの1年で約20%増加、IPv6のトラフィックは1年で約80%増加しました。全トラフィックに占めるIPv6の割合は、約6%となり、昨年の約4%から増加しています。図-5は同じ期間をログスケールで描画したものです。トラフィックの絶対量としては、IPv6はIPv4の1/10以下ですが、伸び率ではIPv4より大きいことが分かります。

拡大する

図-4 IIJのコアPOP（東京・大阪・名古屋）のバックボーンルータで計測した、IPv4トラフィックとIPv6トラフィック

拡大する

図-5 IIJのコアPOP（東京・大阪・名古屋）のバックボーンルータで計測した、IPv4トラフィックとIPv6トラフィック（ログスケール）

次に、2017年10月から2018年9月までの1年間の、IPv6とIPv4の平均トラフィック送信元組織（BGP AS番号）の上位を図-6と図-7に示します。

1位は昨年同様の事業者ですが、2位以降とのトラフィック量の差が縮小し、占有率は前回と比べ半分程度まで下がっています。2位以降の事業者においてもIPv6の活用が進んでいることがうかがえます。また、フレッツ光ネクストでIPv6 IPoE接続サービスを提供している事業者のトラフィックも4位と6位に入ってきており、IPv6 IPoEの普及がIPv6の利用増につながっているものと考えられます。

利用プロトコル

IPv6トラフィックのプロトコル番号（Next-Header）と送信元ポート番号で解析したグラフを図-8に、IPv4トラフィックのプロトコル番号と送信元ポート番号のグラフを図-9に示します（2018年10月1日からの1週間）。

拡大する

図-8 IPv6トラフィックのProtocol番号（Next-Header）と送信元ポート番号で解析したグラフ

拡大する

図-9 IPv4トラフィックのProtocol番号と送信元ポート番号で解析したグラフ

昨年と同様の傾向ですが、TCP/UDP443、TCP80が全体に占める割合が更に増加し、トラフィックのほとんどがWeb系のアプリケーションで占められています。これはIPv6に限らず、IPv4も同様の傾向です。

また、昨年6位だったIP-ENCAP（プロトコル番号4）の順位が5位に上がっています。グラフ上は潰れて見えませんが、数値的には昨年から倍以上の伸びとなっており、DS-Lite（RFC6333）などIPv4 over IPv6系技術を用いたトラフィックが増加しているものと推察しています。

モバイルサービスのIPv6トラフィック

今回は新たにモバイルサービスのIPv6トラフィックについて紹介します。

図-10のグラフは、IIJのモバイル系サービスにおける2016年10月1日から2年間のトラフィックグラフです。ちょうど真ん中あたりが2017年9月下旬になりますが、その近辺からIPv6トラフィックが急に増加しています。

拡大する

図-10 IIJのモバイル系サービスにおける2016年10月1日から2年間のトラフィック

これは、米Apple社のiPhoneやiPadのOSであるiOSバージョン11のリリースと重なります。iOSバージョン11では、MVNOのAPNプロファイル（モバイル網に接続するための情報ファイル）でも、デフォルトでIPv6接続が有効化されたことから、多くのユーザの端末でIPv6が利用され始めたためと考えられます。

また、モバイルのIPv6トラフィックのほとんど（98%以上）がWeb系アプリケーションのトラフィックです。

まとめ

今回はIPv6のトラフィック量、利用プロトコル、そしてモバイルサービス個別のIPv6トラフィックについて見てきました。全体としてIPv6トラフィックは増加しており、IPv4の増加率よりも高くなっていました。これは、「フレッツ光ネクストにおけるIPv6 IPoEサービスの普及」「Apple iOS11のリリース」などにより、一般ユーザが利用する端末においてもIPv6の利用が進んだこと、及び、IPv6でサービスを提供する事業者の多様化が進んだことが一因と考えられます。2019年中頃には、IPv4アドレス在庫が残っている最後の地域レジストリであるAFRINIC（アフリカ地域）のIPv4枯渇が予想されているため、今後はますますIPv6の活用が進んでいくものと思われます。

Theme 04 モバイル・ブロードバンド

ここではモバイルとブロードバンドのトラフィックを分析してみます。なお、本項のブロードバンドにFLETSのIPoEは含まれません。

図-11はモバイルとブロードバンドそれぞれについて、利用者から見たダウンロード方向、アップロード方向のトラフィック量（bps）をそれぞれのピーク値で正規化したグラフです。このグラフを見ると、モバイルは昼の12時前後に、ブロードバンドは夜の22時前後にトラフィックのピークがあることが分かります。モバイルは外出先で利用されるケースが多いため日中のトラフィックが多くなっています。また、通勤通学、帰宅時間帯にも増加が見られ、人の活動と相関が強いことが分かります。一方のブロードバンドは、帰宅後に自宅で利用されるため夜間のトラフィックが多くなっています。

拡大する

図-11 ピークに対するトラフィック比

また、モバイル、ブロードバンド共にダウンロードの方が1日を通じた変動が大きくなっています。ブロードバンドは朝方から夜のピークにかけて徐々にトラフィックが増え続ける傾向にあり、一方のモバイルはブロードバンドと比べ、朝になると急激に増え、その後も日が変わる直前まで利用が多いことが分かります。

参考までに、総務省が公開している「我が国の移動通信トラヒックの現状（平成30年6月分）」に記載された移動通信事業者5者のトラフィック状況を見ると、トラフィックのピークはIIJのブロードバンドと同じく夜にあるようです。現状、IIJのモバイル（MVNO）はMNOと比較し、新しいものに敏感なアーリーアダプタと呼ばれる顧客層が多いと考えられ、これらの顧客層は自宅にブロードバンド回線を保有していて、夜間はそちらにトラフィックがオフロードされる割合が高いと推測されます。MVNOが更に普及しマジョリティ層が増えるに従い、トラフィックのピークもMNOと同じく夜にシフトしていくものと思われます。

次に、ダウンロードとアップロードの比率を比較します。図-12はモバイルとブロードバンドそれぞれについて、ダウンロードのトラフィック量（bps）をアップロードで割った比率を表しています。

拡大する

図-12 ダウンロードに対するアップロードのトラフィック比

このグラフを見ると、モバイルよりブロードバンドの方がダウンロードの比率が高いことが分かります。技術の進歩によりモバイルの通信速度は日々向上していますが、一般にはまだブロードバンドの方が安定して高速な通信が可能です。また、基本的に使い放題なブロードバンドに比べ、モバイルは様々な形で転送量に上限を設けている場合が多くあります。そのため、ブロードバンドの方がより大容量のダウンロード通信が発生しているものと思われます。

次はプロトコルを比較します。図-13と図-14はモバイルとブロードバンドそれぞれについて、ダウンロード方向のトラフィック量（bps）に関するプロトコルの割合（プロトコル、ソースポート）を示したものです。

モバイルとブロードバンド、いずれもHTTP関連プロトコル（443/tcp及び80/tcp）が全体の約3/4を占めています。また、443/udpを使うQUICという比較的新しいプロトコルも上位に入っています。なお、QUICの通信先は特定のインターネットサービス事業者に著しく偏りが見られます。興味深いのは、ブロードバンドよりもモバイルの方が443/tcp、つまりはHTTPSの割合が高い点です。モバイル利用者の多くはスマートフォンを使用していると推測されますが、単純にWebページを汎用的なブラウザから閲覧するよりも、ある用途に特化した様々な専用アプリケーションを使う機会が多く、そこで利用されるプロトコルは多くがHTTPSであるのかもしれません。

モバイルには一定数、IPv6のみを利用しているユーザがいます。IPv6でもIPv4と同等にコンテンツを提供するサービスも増えていますので場合によってはIPv6のみで需要を満たせるケースがあるかもしれませんが、これだけのユーザがいるのには驚かされます（端末によってはIPv4/IPv6同時利用の設定を行うと何故かIPv4、IPv6を別々に接続することがあり、この影響も考えられます）。

最後に、モバイルで利用されている端末種別を見てみます。モバイルのユーザ通信はGTPというプロトコルを利用していますが、接続時に行う一連の処理の中で移動機は自身の端末種別（IMEI：International Mobile Equipment Identity）をネットワークに対して申告します。IMEIはメーカ、製品名などの情報から成り立っていて、これらを解析することでユーザが使っている端末をおおよそ把握することができます。

モバイルにおいて移動機、つまりスマートフォンはユーザ体験に非常に大きな影響があり、それ故に各モバイル事業者はスマートフォンの販売に非常に力を入れています。特にIIJなどのMVNOは、MNO契約時に使っていたスマートフォンをそのままMVNOでも利用するケースがあり、これらを含めてどのようなスマートフォンが利用されているかを把握することはサービス戦略上重要になってきます。

Theme 05 IIJインフラ（バックボーン）

IIJではIIJのネットワークを適切に運用するために、ネットワークの状態を様々な視点から観察しています。今回は、その中でも主要な指標である総トラフィックについて紹介します。

IIJはISPですが、ISPの規模を表す数値として、総トラフィックという指標が用いられることがあります。しかし、この総トラフィックが何を表しているのか明確に説明されている例をあまり見ません。ここでは総トラフィックを「IIJのバックボーンに出入りする通信の帯域の合計」と定義します。ここで言うバックボーンは、ルータの集合です。通信元/通信先となるホストは含みません。一部ルータ宛の通信がないわけではありませんが、無視しても良いような量でしょう。

こう定義した上で、IIJのバックボーンの出口/入口を考えてみます。主に次の3種類に分類できます。

1. IIJの接続サービスのお客様
   • インターネット接続サービス、データセンター接続サービスなどの接続サービス
   • IIJ GIO（クラウドサービス）のインターネット接続サービス
   • ブロードバンド（NTT東西のフレッツなど）接続サービス
   • モバイル接続サービス
2. IIJのサービスホスト
   • メールやWeb関係のサービス
   • 配信サービス
3. 相互接続事業
   • 他のISPとの相互接続（ピア）
   • クラウド事業者/コンテンツ事業者との相互接続

これに基づいて、この10年の総トラフィックをグラフ化すると図-16のようになります。グラフは積み重ねになっています。外向きというのが出口を観測したもの、内向きというのが入口を観測したものです。一部の攻撃トラフィックなどはバックボーンの中で破棄されることもありますが、基本的には入ってきたトラフィックはすべてどこかに出て行くので、合計はほぼ同じになります。

拡大する

図-16 2008年〜2018年の総トラフィック

まず、一見して分かるのはトラフィックがこの10年で10倍以上になっていて、伸びが加速していることです。留まる気配はなさそうです。外向きのトラフィックに関しては、下の3つがお客様に向かうトラフィックです。モバイルのトラフィックが3年程前から徐々に増えてきていますが、割合的にはまだまだ少ない状況です。かなり大雑把ですが、ブロードバンドとモバイルのトラフィックは大部分が個人のお客様です。着実に増えていますが、灰色の主に法人のお客様（個人向けにサービスを行っている法人のお客様も含まれます）のトラフィックの方がこの10年の伸び率は高いです。IIJのお客様のトラフィックに関しては、個人よりも法人の方が伸びているのです。

内向きのトラフィックを見てみます。ブロードバンド、モバイルのトラフィックが少ない傾向です。情報を殆ど発信していないと言うことです。特にブロードバンドはトラフィックは伸びているものの、その率が小さく、全体に占める割合はどんどん低下していっています。また、サービスホストの割合が増えてきています。配信やWeb系のサービスが伸びているからでしょう。

外向きと内向きの対比に注目すると、ブロードバンドの場合は内向きが2倍程度にしかなっていないのに対して、外向きは9倍近くに達しています。1つ1つのコンテンツが巨大化していることがここからも分かります。また、対外接続に注目した場合、国内は内向きと外向きが拮抗していますが、国際は内向きの方が明らかに多くなっています。国際の相互接続に関しては、まだIIJのコンテンツの力は弱いということでしょう。

今回は、IIJの総トラフィックのグラフを紹介しました。トラフィック1つを取っても、視点や注目するポイントを変えると別の側面が見えてきます。また、トラフィック以外にもバックボーン内の遅延やエラーなど、全く別の指標も記録を取っています。これからも、IIJのネットワークの観察を続け、その変化を定期的にレポートして行ければと考えています。

1. 定期観測レポート IIJインフラから見るインターネットの傾向

• Theme 01 BGP・経路数
• Theme 02 DNS
• Theme 03 IPv6
• Theme 04 モバイル・ブロードバンド
• Theme 05 IIJインフラ（バックボーン）