独立行政法人 情報通信研究機構(NICT:National Institute of Information and Communications Technology)とF5ネットワークス、KDDI、ソフトバンクBB、タレスジャパン、日本電信電話(NTT)、バッファロー、パロアルトネットワークス、ブロケード コミュニケーションズ システムズ、マイクロソフトの10社・団体は共同で、「IPv6の安全性、相互運用性を向上させ、安心、安定した利用を実現する」ため、「IPv6技術検証協議会」を設立、活動を開始したことを発表した。
IPv6のセキュリティ検証
IPv4アドレスの枯渇問題を見据えたIPv6の実用化に向けた取り組みは、世界的に見ても日本が進んでおり、中心となる団体として「IPv6普及・高度化推進協議会」が存在する。一方、今回設立されたIPv6技術検証協議会では、「特にセキュリティにフォーカス」する点が特徴であり、既存の活動と競合するのではなく、補完関係に立つことになる。
まず初めに概要説明を行なった同協議会の会長でNICT理事の榎並和雅氏は、IPv4アドレスの枯渇が2011年7月にも起こる見通しであることを紹介し、IPv6への移行は不可避であることをふまえた上で、「IPv6はセキュアといわれているが、本当なのか?」という疑問を呈した。
NICTは、IPv6の実運用環境での攻撃可能性などについて研究する過程で、これまでに「60ほどのセキュリティホール」を確認しているという。IPv6技術検証協議会では、会員企業各社のIPv6対応製品をテストベッドとなるマイクロソフト大手町テクノロジーセンターに持ち寄り、NICTの「IPv6セキュリティ検証ツール」を使って模擬攻撃を行なうなどの手法でIPv6環境のセキュリティ面での課題や対策手法の整理を行なう。
さらに、技術検証の結果は一般に公開し、外部組織やIETF、ITUTといった国際的な標準化団体などとも連携を図りながら「よりよいIPv6環境を目指して」活動していく計画だ。
IPv6は経験が足りない!
続いて登壇した同協議会副会長でマイクロソフトの業務執行役員 最高技術責任者の加治佐俊一氏は、IPv6環境のセキュリティについて、「IPv6はIPv4の経験を織り込んで設計された素晴らしいプロトコルだが、長年にわたって運用され続けてきたIPv4に比べれば“経験が足りない”」と指摘し、実運用環境で起こりうる問題や想定される攻撃手法などについてあらかじめ対策を講じておくことの重要性を強調した。
想定されるトラブルの例として同氏は、「IPv4はNATを利用することで攻撃から守りやすくなっていた面もあるが、IPv6ではアドレス空間が拡大することでエンド・ツー・エンドの通信が可能になるため、LAN内部のPCなどのノードが外部から直接アクセスできるようになる」点や、IPv6のプラグ&プレイ機能を悪用し、偽の経路広告を送ることで悪意あるユーザーが設置した盗聴通信路にトラフィックを誘導できてしまう可能性があることなど、IPv6で起こりうるセキュリティ上の問題の紹介も行なった。
IPv6への移行は、早ければ来年早々には現実的な問題となる可能性がある。同協議会では、現時点で想定されている60ほどのセキュリティ問題に対する検証や対策の確立に取り組み、おおよそ2年くらいの期間をターゲットとして活動していく計画だという。
IPネットワークは、本来はノード間でエンド・ツー・エンドの通信が自由にできるように設計されたネットワークだが、IPv4アドレスが潤沢でないことでNAT(Network Address Transfer)を介し、LAN内部ではプライベート・アドレスを利用する形での運用が一般化している。この状況ではインターネット側から通信を開始するプッシュ型のサービスの利用に制約が生じるなどの不便はあるが、逆にインターネット側から開始された通信はすべて遮断してしまうようなファイアウォール設定が一般化していることもあって攻撃に対する防御を強化する役に立っている面もある。
しかし、IPv6ではアドレス空間が大幅に拡大されることで、逆にLAN内のノードがすべてインターネット側から直接アクセス可能になるなど、一時的にセキュリティが低下する可能性がある。もちろん、ユーザーがIPv6環境に応じたセキュリティ対策を飲み込むまでの習熟期間も必要だろう。
IPv6に関しては、プロトコル・レベルでセキュリティに配慮した設計が行なわれるなど、IPv4よりはセキュアであると一般にいわれているが、現実的な実運用環境でどのようなリスクが生じうるかをあらかじめ検証し、対策を確立しておく意味は大きいだろう。
この連載の記事
-
第10回
ネットワーク
進むIPv4枯渇対策!IPv6接続「さくらの6rd」がトライアル -
第10回
TECH
米シマンテック、vPro利用のワンタイムパスワードを提供へ -
第10回
ネットワーク
NTT東西、フレッツ光ネクストでIPv6接続サービスを開始 -
第9回
ネットワーク
IANAの中央在庫枯渇で、新規IPアドレスは払底目前に -
第8回
ネットワーク
明日にも枯渇?IPv4がなくなったらどうなる? -
第7回
ネットワーク
枯渇目前のIPv4アドレス!シスコが全身全霊を傾けるIPv6 -
第6回
デジタル
IPv6の夜明けは近い?日本ネットワークイネイブラー誕生 -
第4回
サーバー・ストレージ
ブルーコート自慢のインテリジェントなIPv6対応 -
第3回
ネットワーク
IIJ、IPv6トンネリング「IPv6仮想アクセス」を無償提供 -
第2回
ITトピック
これがIPv6対応Googleだ! - この連載の一覧へ