IPv6のセキュリティを検証する「IPv6技術検証協議会」設立


 独立行政法人情報通信機構(NICT)、F5ネットワークスジャパン株式会社、KDDI株式会社、ソフトバンクBB株式会社、タレスジャパン株式会社、日本電信電話株式会社(NTT)、株式会社バッファロー、パロアルトネットワークス合同株式会社、ブロケード コミュニケーションズ システムズ株式会社、マイクロソフト株式会社の10社・団体は共同で、「IPv6技術検証協議会」を7月28日に設立、活動を開始したと発表した。

 「IPv6技術検証協議会」では、IPv6のセキュリティ面を中安全性、相互運用性を向上させ、安心かつ安定した利用の実現を目指す。

 IPv6の利用については、相互接続性確認、プロトコル検証などの基礎的な範囲での検討を「IPv6普及・高度化推進協議会」が中心となって実施してきたが、「IPv6技術検証協議会」ではおもにセキュリティ面での検証および対策を行うことを目的とする。

IPv6のセキュリティホールがすでに60個余り見つかっている

IPv6技術検証協議会の会長を務めるNICT理事 江並和雅氏

 会長に就任したNICT理事 江並和雅氏は、「IPv4では、2の32乗、約43億個のアドレスが使用できるが、日本では残り6%となっており、来年7月には枯渇すると予測される」とIPv4のアドレス枯渇が目前に迫っていることを説明。

 一方、IPv6では、2の128乗=約340潤(かん)=340兆の1兆倍の1兆倍個のアドレスが使用可能となる。また、End-to-Endでの暗号化・認証によりIPv6ではよりセキュアになると言われているが、IPv6の普及はあまり進んでいないこともあり、運用実績も乏しく、IPv6の安全性はまだ担保されていない状況にあると述べた。

 NICTの研究グループでは、ミニチュアのIPv6環境を作って運用性などを鑑みながら62~63の問題点を発見。今回の発起人となった会員社に、こういった技術検証をある程度の規模でやってみようということで声をかけ、今回の発足に至ったという。

 なお、現段階では大手通信機器メーカーのシスコシステムズ合同会社や主要PCメーカーなど、通信やITの主要なプレーヤー企業で参加していない企業が多いが、参加は設立時の10社・団体に限る考えはなく、設立後も趣旨に賛同し、検証に協力可能なメーカーや通信事業者の参加は歓迎するとの考えを示した。

安全と言われるIPv6だが、運用実績が乏しいこともあり、セキュリティホールの検証・対策が進んでいないマイクロソフト大手町テクノロジーセンター内でテストベッドを設け、セキュリティ問題を中心に検証する今回発起人となった10企業・団体。今後の参加も歓迎するという

実際に機器を持ち込みIPv6環境を検証、対策を検討

副会長を務める、マイクロソフトの最高技術責任者 加治佐 俊一氏

 副会長を務めるマイクロソフト株式会社 業務執行役員 最高技術責任者の加治佐 俊一氏は、「IPv6は、現時点で大きく普及していない。IPv4で得た経験をもとに先進的なプロトコルとなっているが、運用経験が足りない。IPv6自体はさまざまな団体で普及活動が行われているが、ここではセキュリティにフォーカスすることで、他団体と連携しながら、得られた情報を伝えていきたい」として「IPv6技術検証協議会」の目的と位置づけを説明した。

 加治佐氏は、「IPv4では、ファイアウォールで多くの問題を解決してきた。一方、IPv6ではファイアウォールで基本的な処理は行うものの、透過的にすりぬけてしまうようなことがあり、悪意の第三者による攻撃が可能になる」とした。

 また、「複数のIPv6アドレスを持つことが可能となるため、IPv4の時代にはなかったような複雑な管理が必要となる。さらにセキュリティホールもあるという状態で、これをどうやって克服していくかが非常に重要な課題になる」と述べた。

 具体的な例として、自動設定機能の弊害を上げ、「IPv6にはプラグアンドプレイ機能(自動設定機能)があるが、このプラグアンドプレイ機能を悪用することで、偽の経路広告を送りつけて、攻撃対象となるマシンからの通信経路を変えてしまうようなことが可能になる」と解説した。

 こうしたセキュリティ面での問題点がすでに60個余り見つかっており、これらをどうやって検証し、対策を考えていくかが協議会の目的だとした。

 試験については、10社が連携して実施。それぞれネットワークルータ-、スイッチ、ロードバランサーなどのさまざまなネットワーク機器を、350台を超える最新のサーバー、330台のワークステーションがあるマイクロソフトの大手町テクノロジーセンターに持ち込んで検証を行う。

 加治佐氏は、「セキュリティは万全になっても、相互運用性が損なわれては意味がない。クラウドのサービス、デバイス、ソフトウェアなども含めた総合的な検証になる。このため、セキュリティ部会を設置して、60以上のリスクについて検証を実施していく」と述べ、セキュリティ検証とともに相互運用性の検証も欠かせないことを指摘。

 「こうした検証を経て、得られた情報を外に出していく。これが非常に重要なミッションだ」と述べ、IPv6普及・高度化推進協議会とも連携して作業を進めていくと述べた。

 理事を務めるKDDIの中尾 康二氏は「62の問題点だけをチェックしてそれで終わりでいいかというとそういうわけではない。今回いろいろなメンバーが集まって検証するため、いろいろなパターンが出てくると思っている。べからず集や、こういった運用をしてくださいというガイドラインを2年くらいをターゲットとして進めていきたい」とコメント。

 さらに、「こうした試みは世界でもはじめてとなる。検証の結果得られた成果については、IETFやITU-Tに展開する案もある」と述べた。

IPv6のプラグアンドプレイ機能を悪用したデータ盗聴の概念図NICTが中心となって、会員社がマイクロソフト大手町テクノロジーセンター内に機材を持ち込んで検証セキュリティ部会を設置し、月1度ていど、各部会を開催して作業を進める
IPv6のテスト環境を構築するマイクロソフト大手町テクノロジーセンター。350台を超える最新のサーバー、330台のワークステーションを収容する
関連情報