キーマンに訊くIPv6の過去、現在、未来
連載:IPv6 Trend Review(5)

IPv6時代の
セキュリティ・モデルとは?

〜OCNで培ったノウハウからの提案

NTTコミュニケーションズ
ビジネスユーザ事業部
IPv6プロジェクト 担当課長
山崎俊之

2002/7/6

 本連載では、これまで基礎インフラの構築に携わってきた人々を中心にインタビューを行ってきた。今回からは、実際のオペレーションや導入、アプリケーション開発に関わる人々を中心に紹介していこう。今回は、国内最大手ISPであるNTTコミュニケーションズでIPv6サービスの開発を行っている山崎俊之氏に、ISPとしての立場ならではのIPv6運用の課題や提案について話を聞いてみた。

(聞き手:@IT 鈴木淳也)



 「グローバルIPがある≠PtoPができる!」

――いつごろからIPv6に関わりはじめたのですか?

 IPv6そのものに関わりだしたのは、ここ1年ちょっとのことです。以前、私の上司だった荒野が担当していた仕事で、それを私が引き継いだという形です。IPv6に関わる以前は、OCNのネットワーク運用に関する業務、主にSLA(Service Level Agreement)やセキュリティなどを担当していました。現在では、社内の各事業部をまたがった、IPv6の商用サービス開発を行っています。

 先日は、国内においてIPv6のトンネル接続サービスの提供を開始しました。これは世界初だったと思います。また、北米や欧州とを結ぶバックボーンの強化も行っています。

――IPv6の運用において、IPv4に比べて何か難しい点はあるのでしょうか?

 実は、IPv6になったからといって、特に難しくなるようなポイントはありません。バックボーンにおいても、現時点でルータが安定して動作しているので、大きな問題はないと感じています。ただ、商用サービスとなると、少々話が違ってきます。IPv6ネットワークの構築に携わっているレベルでは問題ないのですが、今後、商用サービスということでサポートなどを考えていくと、オペレータがきちんとサポート対応ができるのかという問題があります。本格的な普及に向けて、きちんとトレーニングを実施していく必要があるのではないかと思います。

――IPv6導入の価値というのは、どこにあると考えていますか?

 個人的に、これまでのインターネットには疑問がありました。1つは、コミュニケーションが意外に発達しなかったこと。例えば、これまではTV局が一方的に流す情報を視聴者がただ見ているだけという状況だったのが、インターネットの登場によって「これで自分も情報発信者になれる!」って期待したわけです。ところが現実は、予算をたっぷり使った企業とかのWeb製作者が一方的に提供する情報を、やはり視聴者がただ見ているだけという状況になってしまっています。メールなど一部を除いて、「インターネットでもPtoPを実現するのは難しい」のです。

 もう1つが、セキュリティに関する問題。我々のサービスに「OCNエコノミー」というのがあります。常時接続環境に8つのグローバルIPアドレス提供まで含めて3万円ということもあり、当時の大ヒット商品になりました。IPアドレス固定の常時接続が手軽にできる反面、セキュリティ上の問題で非常に苦労しました。好きな人なら構わないのですが、サーバを立てたとして、セキュリティ・パッチを随時当てなければいけないのは、一般の人にとってみれば大きなストレスです。IPv6時代の先取り体験だったともいえるのですが、「グローバルIPアドレスがあったからといってPtoPや情報発信が簡単にできるわけではない」ということを経験してきました。

固定IPで常時接続ができる
OCNエコノミーにより、
IPv6時代の先取り体験
としてノウハウを蓄積できました

 IPv4で問題だったのは、つながりたくない相手でも簡単につながってしまうことでした。IPv6ならば、相手を識別したうえで、つなげたい相手ならつなげる、もしそうでなければ拒否するといったことも可能です。

――それは、IPSecを使うということですか?

 そうです。携帯電話で発信元が偽装できないように、IPSecであれば証明書のやりとりで相手を識別することが可能です。そして、その相手と暗号化による安全な通信ができます。IPv6本来のメリットとは異なり、クローズドな考えかもしれませんが。一般のユーザーがIPSecを意識せずに、これらを実現できるようになればと考えています。

 IPSecが変える、新しい通信モデル

――企業へのIPv6導入の障害として、NATやファイアウォールが挙げられることが多いですが、セキュリティ面など、どのように考えていますか?

 企業ユーザーがインターネットVPNの利用を始めたとき、それまで使用してきた専用線と比べて、安全性の確保や信頼性などで「本当に大丈夫か?」と叫ばれていたと思います。だが実際には、管理者側のマインドの変化により、現在のようにインターネットVPNは広く利用されるようになりました。これは、IPv6でも同様のことだと思います。

 例えば、企業セキュリティではどの部分が一番危険だと思いますか? 実は、ファイアウォールやNATなどの外部からの攻撃よりも、内部からの攻撃のほうが危険なのです。外部からの攻撃は大変ですが、いちど社内に潜入してハブの余っているポートにケーブルを差したり、無線LANなどを利用すれば、簡単に社内ネットワークに侵入できるわけです。

――確かに、水際防衛モデルだと、内部からの攻撃には弱いですね。

 ここで大事になってくるのは、Site-to-Siteのセキュリティよりも、End-to-Endのセキュリティの確保です。例えば、社内のある重要なサーバには、特定のユーザーしかアクセスできないようにする、といった感じです。サーバ〜クライアントの通信や認証をIPSecで行えば、データが漏えいすることもありません。今後は、社内業務のアウトソースも増えてきて、社内に社員以外の人も多く出入りすることになると、こういったセキュリティ・モデルは重要になるでしょう。

 この考えをさらに発展させれば、クライアントPC自体は社内に限らず、出張先や自宅など、どこにいても社内のサーバにアクセスできるようになります。

――管理者サイドにとって、NAT上をIPSecパケットが通過するのはあまり喜ばれないような気がしますね。

 そうでしょうね。やはり、何の通信をしているかが分からないわけですから。これも前述のマインドの変化が起こることで、次第に新しいセキュリティ・モデルが認知されるようになってくるのかもしれません。詳しくはお話できませんが、このIPSecによる通信の問題を解決するソリューションを、何社かの方と相談しているところです。

IPv6時代には、Site-to-Siteよりも、
End-to-Endのセキュリティの確保が
重要になってきます

――企業以外の、例えばコンシューマやSOHOなどのユーザーに向けて、セキュリティ・サービスをISP側から提供することはあるのですか?

 はい。すでにIPv4の時代から、OCNユーザー向けのファイアウォール・サービスの提供を行っています。やはり、OCNエコノミーでの苦い経験がありますので、このあたりはいろいろ工夫しています。ユーザー側にメニュー画面を用意して、「この条件でフィルタをかける」といったことが簡単にできるようになっています。IPv6でも同様に、「IPSecのこのポリシーなら許す」といった設定ができればと思います。


 IPv4の時代でも、インターネットが人々のビジネス・ツールとして認知されるまでに長い年月を要した。IPv6においても、いままさにその時代を経験しようとしているところだろう。IPv4時代のネットワーク・スタイルが、必ずしもそのままIPv6に適用できるわけではない。いま、セキュリティやそのほかにおいて問題になっているNAT(ファイアウォール)の存在だが、新しいセキュリティ・モデルの確立により、IPv6とうまく共存していくことになるだろう。

 次回は、国内初(世界初)の社内ネットワーク完全IPv6対応を実現した電通国際情報サービスの熊谷氏に、導入の際の苦労点や、今後IPv6導入を考えているユーザー企業へのアドバイスを受けることにする。

「Master of IP Network総合インデックス」

 



Master of IP Network フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Master of IP Network 記事ランキング

本日 月間
ソリューションFLASH