このページの本文へ

IPv6に進路を取れ! 第5回

IPv6時代にもセキュリティの強化は不可欠

NICTやMSなど10団体、IPv6技術検証協議会を発足

2010年08月02日 09時00分更新

文● 渡邉利和

  • この記事をはてなブックマークに追加
  • 本文印刷

独立行政法人 情報通信研究機構(NICT:National Institute of Information and Communications Technology)とF5ネットワークス、KDDI、ソフトバンクBB、タレスジャパン、日本電信電話(NTT)、バッファロー、パロアルトネットワークス、ブロケード コミュニケーションズ システムズ、マイクロソフトの10社・団体は共同で、「IPv6の安全性、相互運用性を向上させ、安心、安定した利用を実現する」ため、「IPv6技術検証協議会」を設立、活動を開始したことを発表した。

IPv6のセキュリティ検証

 IPv4アドレスの枯渇問題を見据えたIPv6の実用化に向けた取り組みは、世界的に見ても日本が進んでおり、中心となる団体として「IPv6普及・高度化推進協議会」が存在する。一方、今回設立されたIPv6技術検証協議会では、「特にセキュリティにフォーカス」する点が特徴であり、既存の活動と競合するのではなく、補完関係に立つことになる。

IPv6技術検証協議会 会長に就任した、独立行政法人 情報通信研究機構 理事である榎並和雅氏

 まず初めに概要説明を行なった同協議会の会長でNICT理事の榎並和雅氏は、IPv4アドレスの枯渇が2011年7月にも起こる見通しであることを紹介し、IPv6への移行は不可避であることをふまえた上で、「IPv6はセキュアといわれているが、本当なのか?」という疑問を呈した。

 NICTは、IPv6の実運用環境での攻撃可能性などについて研究する過程で、これまでに「60ほどのセキュリティホール」を確認しているという。IPv6技術検証協議会では、会員企業各社のIPv6対応製品をテストベッドとなるマイクロソフト大手町テクノロジーセンターに持ち寄り、NICTの「IPv6セキュリティ検証ツール」を使って模擬攻撃を行なうなどの手法でIPv6環境のセキュリティ面での課題や対策手法の整理を行なう。

マイクロソフトやNICTなどとともにIPv6の安全性を検証する「IPv6技術検証協議会」

 さらに、技術検証の結果は一般に公開し、外部組織やIETF、ITUTといった国際的な標準化団体などとも連携を図りながら「よりよいIPv6環境を目指して」活動していく計画だ。

IPv6は経験が足りない!

IPv6技術検証協議会 副会長に就任したマイクロソフト業務執行役員 最高技術責任者の加治佐俊一氏

 続いて登壇した同協議会副会長でマイクロソフトの業務執行役員 最高技術責任者の加治佐俊一氏は、IPv6環境のセキュリティについて、「IPv6はIPv4の経験を織り込んで設計された素晴らしいプロトコルだが、長年にわたって運用され続けてきたIPv4に比べれば“経験が足りない”」と指摘し、実運用環境で起こりうる問題や想定される攻撃手法などについてあらかじめ対策を講じておくことの重要性を強調した。

 想定されるトラブルの例として同氏は、「IPv4はNATを利用することで攻撃から守りやすくなっていた面もあるが、IPv6ではアドレス空間が拡大することでエンド・ツー・エンドの通信が可能になるため、LAN内部のPCなどのノードが外部から直接アクセスできるようになる」点や、IPv6のプラグ&プレイ機能を悪用し、偽の経路広告を送ることで悪意あるユーザーが設置した盗聴通信路にトラフィックを誘導できてしまう可能性があることなど、IPv6で起こりうるセキュリティ上の問題の紹介も行なった。

 IPv6への移行は、早ければ来年早々には現実的な問題となる可能性がある。同協議会では、現時点で想定されている60ほどのセキュリティ問題に対する検証や対策の確立に取り組み、おおよそ2年くらいの期間をターゲットとして活動していく計画だという。

 IPネットワークは、本来はノード間でエンド・ツー・エンドの通信が自由にできるように設計されたネットワークだが、IPv4アドレスが潤沢でないことでNAT(Network Address Transfer)を介し、LAN内部ではプライベート・アドレスを利用する形での運用が一般化している。この状況ではインターネット側から通信を開始するプッシュ型のサービスの利用に制約が生じるなどの不便はあるが、逆にインターネット側から開始された通信はすべて遮断してしまうようなファイアウォール設定が一般化していることもあって攻撃に対する防御を強化する役に立っている面もある。

キャリアや通信機器メーカーなども参加する

 しかし、IPv6ではアドレス空間が大幅に拡大されることで、逆にLAN内のノードがすべてインターネット側から直接アクセス可能になるなど、一時的にセキュリティが低下する可能性がある。もちろん、ユーザーがIPv6環境に応じたセキュリティ対策を飲み込むまでの習熟期間も必要だろう。

 IPv6に関しては、プロトコル・レベルでセキュリティに配慮した設計が行なわれるなど、IPv4よりはセキュアであると一般にいわれているが、現実的な実運用環境でどのようなリスクが生じうるかをあらかじめ検証し、対策を確立しておく意味は大きいだろう。

カテゴリートップへ

この連載の記事
  • 角川アスキー総合研究所
  • アスキーカード