VoIPセキュリティに打開策? PGP開発者が新技術を公開
普及段階に入っているVoIPだが、セキュリティの問題から導入に慎重な姿勢をとっている企業も多い。そこへ、暗号技術PGPの開発者として知られるPhil Zimmermann氏が7月末、VoIPの暗号化技術を開発中であることを明らかにした。VoIPセキュリティの解決策として、早くも注目を集めている。
コストを最大の強みとするVoIP市場では、起爆剤となったSkype(ルクセンンブルグ)をはじめ、企業向けにVoIP機器を提供する米Cisco Systems、専業サービスプロバイダの米Vonageなどが製品・サービスを提供しており、次第に消費者や企業への受け入れが進んでいる。
だが、VoIPでは、誕生当初から指摘されてきたセキュリティの問題がある。VoIPはその名の通りインターネットをベースとすることから、ハッキングによる盗聴などが懸念されるためだ。そうした声を受けて、今年2月にはVoIP Security Allianceという業界団体も発足、セキュリティへの不安がVoIPサービス実装の阻害要因とならないよう、各種の取り組みを進めている。
そこへ、米ラスベガスで開催されたセキュリティイベント「Black Hat USA 2005」で、暗号の大家とされるPhil Zimmermann氏が、VoIPの暗号化技術「Zfone」(開発コード名)を開発中であることを明らかにした。容易に実装・管理できる技術という。
「Zfone」は、phythonで書かれたプログラムで、オープンソースのVoIP「Shtoom」をベースに、Diffie-Hellman鍵交換方式を利用したものだ。SIP(Session Initiation Protocol)ベースのVoIPアプリケーションに適用することで、通話を暗号化できる。
通話時に数字とアルファベットからなる秘密情報を生成し、通話者は相手とその秘密情報を交換することで認証を行う。秘密情報そのものは通話が終わると消滅するが、ハッシュ値は残る。そのため、秘密情報の交換を忘れた場合でも、次の通話時に前の秘密情報が組み込まれた秘密情報が生成されるため、秘密情報が合致する限りは安全を確認できるという。「Zfone」を用いた暗号化通話を利用するには、双方が「Zfone」を実装している必要がある。
「Zfone」の長所として、Zimmermann氏はPKIなど他のVoIPセキュリティ技術と比べて、サードパーティが不要で、実装・管理が容易である点を挙げている。また、プラグインで利用できることから、組織の規模を問わずに手軽に実装できるとも述べている。
現在、サポートOSはMac OS Xのみだが、Windowsのサポートも視野に入れているという。「Zfone」の提供は、ソフトウェアクライアントにインストールする形とVoIP電話に組み込む形の両方を想定しているという。
Zimmermann氏は、8月中にも「Zfone」のソースコードを評価用に開示し、ドキュメントも公開したいとしている。将来的には、「Zfone」技術を提供する組織を立ち上げる計画で、すでに、VoIP分野で著名なJeffrey Pulver氏(pulver.com社長)や、以前ホワイトハウスでサイバースペース安全保障担当特別補佐官を務めていたRichard Clarke氏などの支援を得ており、ベンチャーキャピタルと話をしていることも明らかにしている。製品化の際は別に正式名称を付ける予定で、同氏のWebサイトで名称を公募中だ。
米IDCは、VoIP市場は年成長率45%で成長し、2007年には市場規模が152億ドルに達すると予想している。このように成長が見込まれる一方で、VoIPへのセキュリティ懸念も根強い。これに対して米Gartnerは先ごろ、「(VoIPのセキュリティ不安は)誇張されている」との見解を示し、話題となった。
これまでのところ、VoIPに関して大きなセキュリティ被害は報告されていないが、通話を盗聴し、MP3ファイルに録音することは技術的に可能といわれている。現在、VoIPサービスを提供しているベンダーの多くは、安全対策について具体的な概要を明らかにしていない。
Zimmermann氏は、1991年に電子メールの暗号技術PGP(Pretty Good Privacy)を発表、フリーウェアとしたことで広く普及した。その後、音声通話の暗号化技術「PGPfone」も発表したが、市場が成熟しておらず、大きな成功には至らなかった。「Zfone」は「PGPfone」をベースとし、数々の強化を加えたものという。