プロキシだからできるIPv6とIPv4の相互運用

ブルーコート自慢のインテリジェントなIPv6対応

2009年06月18日 09時00分更新

文● 大谷イビサ／TECH.ASCII.jp

今回のInteropでもIPv4アドレスの枯渇は大きなテーマとなり、IPv6の対応もようやく当たり前のものになりつつある。Interopの会場でブルーコートシステムズ（以下、ブルーコート）のIPv6対応を聞いた。

2004年からIPv6対応をスタート

　ブルーコートは、「ProxySG」をはじめとするWebプロキシサーバのアプライアンスを提供するベンダー。2006年にはWAN高速化の市場に参入し、その後帯域制御やアプリケーション可視化の分野で高いシェアを誇るパケッティアの買収により、統合的なアプリケーション最適化を手がけるようになった。

米ブルーコートシステムズシニア・テクノロジスト＆アーキテクトチン・リ氏

　こうした同社がIPv6への開発を始めたのは、今から5年前の2004年と意外と古い。「とにかくセキュアゲートウェイの市場で、一番早くIPv6対応製品を投入しようと考えました。その年にカリフォルニア州のサンタモニカで行なわれた『IPv6 Global Summit』で製品コンセプトをお話ししたところ、大変大きな賛同が得られました」と語るのは、ブルーコートでIPv6対応を進めているチン・リ氏だ。その後、同社はベータプログラムを立ち上げ、企業や政府関係、教育機関などといっしょにIPv6対応を練り上げてきたという。

　2004年の動向を考えると、IPv4アドレス枯渇の危険性は認識されていたものの「顧客側はIPv6のサービスやメリットが認識できていませんでした。一方、ベンダー側はやはり長期的な投資に二の足を踏むところがありました」（チン氏）といった状況。IPv4アドレスを潤沢に保有するがため、IPv6への関心が薄い当時の米国で、こうしたIPv6対応を進めるのはなかなかチャレンジだったに違いない。だがその後、新興国でのインターネットの普及やWebサーバ自体の増大でIPv4アドレスの消費はますます加速。IPv6導入への機運が高まってきたのはご存じの通りだ。

　チン氏は「現在はルータやスイッチがIPv6対応を行なうフェーズ1が終了したところ。これからはアプリケーションやサービスがIPv6対応を行なうフェーズ2へ移行する必要がある」と捉えている。特に膨大なアドレスを持つIPv6環境では、理論上NATやファイアウォールのような「境界」が存在せず、端末はお互いのアドレスで直接通信を行なう。裏を返せば、悪意のあるユーザーから直接攻撃を受ける可能性が増大するため、セキュリティ機器のIPv6対応は重要になる。

IPv6にはインテリジェンスが必要

　ブルーコートの製品は、これまで培っていた技術を基にいち早くIPv6に対応している。具体的にはProxy SG上でIPv6アドレスやサブネットをトリガにフィルタリングを行なったり、ログを採集したり、直接ヘッダを書き換えることもできる。また、IPv4とIPv6を違和感なく変換することにより、IPv4のユーザーでもIPv6のサービスを利用できるほか、逆にIPv6ユーザーがIPv4のサービスを利用できる環境を実現する。現在、HTTP、HTTPS、DNS、FTPなどのアプリケーションに対応しており、ソフトウェアのアップデートで対応が可能だ。

　ポイントは、インテリジェントなIPv6対応が実現しているという点。たとえば、IPv6環境では1つの物理インターフェイスに複数のアドレスを持つ可能性があるが、こうした場合でも、Proxy SGではきちんと1つの端末と捉えて通信を行なえる。また、IPv4とIPv6でよく問題となるDNSによる名前解決も、通信を両端で終端するプロキシという立場を利用して違和感なく使える。たとえば、IPv4のクライアントが名前解決の問い合わせを行なった場合、通信相手がIPv6オンリーのサーバの場合は名前解決に失敗してしまう。しかし、Proxy SGを使うと、Proxy SGが問い合わせに対してIPv4アドレスを返答し、あとのIPv6サーバとのやりとりはすべてProxy SGが代替してくれる。

IPv6にも対応するブルーコートの「Proxy SG810」

　今後もIPv6に関しては積極的に対応していくとのこと。チン氏は「重要なのは単にRFCに準拠するだけではなく、RFCをきちんと解釈し、顧客の問題は解決できる形で対応していくということです。今後は対応するアプリケーションプロトコルを増やしていき、セキュアゲートウェイ製品の分野において唯一で、かつ最強のIPv6対応を今後も続けていく」と話している。

■関連サイト