ニュース
2004/05/12 12:56 更新
チェック・ポイントはIPv6セキュリティの「イネーブラ」に
Check Point Software TechnologiesのVPNソリューションマネージャ、ダン・セレル氏は、IPv6に欠けているのはアプリケーションとセキュリティだと指摘する。
「人間はミスを犯すもの。プロトコルやアプリケーションを作成するのも人間である以上、そこにはどうしてもエラーが生じる。IPv6の世界になったとしても、IPv4のときと同様に何らかの脆弱性が現れてくるのは避けられないだろう」
イスラエルのCheck Point Software TechnologiesでVPNソリューションマネージャを務めるダン・セレル氏は、IPv6は徐々に浸透しつつあると述べながら、一方で「一夜にして大規模なIPv6への移行が起こるわけではない。徐々に、それもセグメントされた形で広がっていくだろう」と予測する。
今では多くのネットワーク機器がIPv6をデフォルトでサポートするようになった。中でも他国に先駆けてIPv6の開発、普及に取り組んできた日本では、商用のIPv6サービスも提供済みだ。しかしながら多くの企業では、いまだIPv4ネットワークが主流。研究開発部門などで導入しているケースはあっても、全社的にIPv6へ移行しているところは少ない。
その理由としてセレル氏は、IPv6対応アプリケーションの欠如とともにセキュリティの欠如を挙げる。「IPv6のアーリーアダプタ(早期導入者)にとって、インターネットにさらされているIPv6のテスト環境をどのように守るかが課題となっている」(セレル氏)。Check Pointでは、ファイアウォール製品のIPv6対応を通じて「IPv6セキュリティのイネーブラーになりたい」という。
管理性も課題に
セレル氏によるとCheck Pointでは、2002年にファイアウォール製品「FireWall-1」のIPv6対応を完了。その後、30数社が参加するインターオペラビリティテスト「Moonv6」に参加しながら、IPv6ネットワーク上でのファイアウォール機能やDoS攻撃対応機能の検証を進めてきた。実際に幾つかの顧客企業での導入例もあるという。
既に、Firewall-1の基本機能とも言えるステートフルインスペクション機能については、動作や接続性はほぼ問題ないレベルに達した。次なる問題は、アプリケーションレベルの検査を実現するSmartDefence/Application Intelligenceと、カーネルレベルでステートフルインスペクション処理の高速化を図るTCPストリーミングと呼ばれる技術のIPv6対応を図り、v6環境でも高速にアプリケーションレベルの攻撃を検出、ブロックすることだ。
既に、3月に行われた「Moonv6 Phase2」において、これらのベータ版コードで相互接続性テストを行ったという。この結果を踏まえ、「具体的には言えないが、数年先といったレベルではない」時期に、対応機能を製品に実装する計画だ。
ただここでも、アプリケーション欠如の問題には悩まされているようだ。特にIPv6に起因する問題はないというが、「対応するアプリケーションが存在しないため、それに先立って開発、テストを行わなければならない」(セレル氏)点が悩みという。とはいえ、IPv4の機能の多くはIPv6に適用可能だろうとも述べている。
もう1つの問題は、管理性に関するものだ。「セキュリティマネージャは、ユーザーが利用するすべてのアプリケーションを把握し、トラフィックを管理したいと考えるもの。しかし、IPSecの実装が容易なIPv6で、エンドツーエンドの暗号化を行うとなると、その管理がほとんど不可能になってしまう」(セレル氏)。
通信をいったんブロックし、復号化して処理を行ったうえで再度暗号化して相手に届けるという手もあるが、その場合はエンドツーエンドという特徴が失われることになるし、パフォーマンス上の問題も生じるという。その意味で、通信を「管理し、コントロールするのが非常に困難だ」(同氏)。このあたりの課題にも取り組みが必要という。
関連記事
北米でIPv6テストの第2フェーズ完了IPv6のエンドツーエンドは企業管理者から見ればとんでもないこと?関連リンク
チェック・ポイント・ソフトウェア・テクノロジーズ[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
