「オールIPv6は危険!?」──こんなにあるIPv6のセキュリティリスクComputer Weekly

IPv4の限界を解決するために策定されたIPv6だが、全ての機器をIPv6化するとリスクが高まるという。IPv6の何が危険なのか? IPv6を安全に利用するために必要な、意外な技術とは何か?

» 2016年06月22日 10時00分 公開
[Warwick AshfordComputer Weekly]
Computer Weekly

 IPv6だけではモノのインターネット(IoT)のセキュリティは万全ではない。米大手メーカーGEのヨーロッパオフィス、GE EuropeでCISO(最高情報責任者)を務めるハンス・プロネン氏はそう警告する。

Computer Weekly日本語版 6月22日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 6月22日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 IPv6は全ての機器にIPアドレスを割り振ることができるので、IoTの通信には必要不可欠だ。しかし、IPv6がIPv4よりもセキュアだというのは神話にすぎないと、本誌Computer Weeklyに対して語った。

 「IPv6には新たなリスクが潜んでいることを認識し、理解しておくべきだ。特に可用性と機密性に関するリスクだ」とプロネン氏は説明する。

 IPv6は自動的にIP Security Protocol(IPsec)を適用しているとよくいわれるが、これは誤解だと同氏は話す。しかし実際には、(仕様に)適合するIPv6の実装にはIPsecのサポートが必須とされているものの、IPv6はIPsecの使用を義務付けてはいないし、保証しているわけでもない。

 「IPv6にIPsecが組み込まれているというのは、単にIPsecを実装できる状態になっているというだけのことにすぎない。IPv6のトラフィックが全て自動的にIPsecに準拠するというわけではない」とプロネン氏は説明する。

 同氏は、IPv6を採用した機器にIPsecを適用することを推奨する一方、IPsecはIPv4と併用することもできると同氏は指摘する。こうすれば、セキュリティのメカニズムでIPv6には含まれていないものも、その機器に実装することができる。

 IPv4にはネットワークアドレス変換(NAT)機能があり、必要とするグローバルIPアドレスの数を減らすことができる。それはセキュリティの向上にもつながる。IPアドレスを全て、直接インターネットに露出させる必要はないからだ。

 「皆がIPv6しか使わなくなると、NATが消滅してしまう。私としては、IPv4とIPv6を併用することを勧めたい。どうしても必要な箇所にだけIPv6を導入して、後はIPv4のままにするということだ」とプロネン氏は話す。

 IoTの文脈では、IPv6の利用はインターネット経由のアクセスが必要な機器だけに限定するということだ。「特にインターネット接続が必要ない場所ではIPv4の利用を継続することで、その機器には組織内の機器からしかアクセスできなくなる。言い換えると、インターネットからはその機器を参照できない。従って、外部からの攻撃を受けるリスクを軽減することができる」とプロネン氏は話す。

 IPv6を使ってインターネットに露出しなければならない機器については、IPsecを実装したものを選ぶことを同氏は推奨している。だが同時に、IPsecだけではIoT機器の安全は守れないだろうとも付け加える。

 同氏によると、IPv4にはなかった脆弱(ぜいじゃく)性が、IPv6では2つの領域に存在するという。1つ目は、不正RA(Router Advertisement)経由の攻撃に対するネットワークの脆弱性だ。これを悪用するとIPv6のトラフィックを傍受できるため、機密性と可用性の両方が損なわれる恐れがある。

 「暗号化は機密性の確保には優れているが、メタデータは保護対象に含まれない。これがデータに接続するための手掛かりを攻撃者に与えてしまい、結局データは組織外に流出する」とプロネン氏は説明する。

 もう1つの脆弱性とは、IPv6を採用すると組織内のネットワークを監視することが以前よりずっと困難になるという点だ。

 「IPv6ではIPアドレスがとにかく多数になるため、ネットワーク上で不正な動作をしている機器をスキャンで検知することは、理論的には不可能だ。つまりIPv6ネットワークのセキュリティの確保は非常に困難だ」とプロネン氏は語る。

 ただもう少し時間がたてば、IPv6のネットワークを監視し、安全性を確保するのを容易にするメカニズムが実用化されるだろうと同氏は予測する。それまでは、組織はセキュリティ上のリスクを認識しておかなければならない。

 プロネン氏によると、2015年はIoTのリスクがまだ広く知られていなかったが、現在はそれに比べれば多少の進歩がみられるという。IoTプラットフォームの大手サプライヤーは今や、セキュリティが必要不可欠だと認識している。

 「Microsoft、Amazon、Bosch、GEなどの大手企業は、セキュリティに十分対処できない限り、IoTは成功しないことを認識している。だから最新のプラットフォームでは、かなり洗練されたメカニズムが組み込まれている。特に機器の認証とデータの整合性については」と同氏は説明する。

 ただし全体的な傾向として、IPv6ベースの機器が今後増えていくだろう。IoTのユーザー全てにとって重要なのは、IoTによって何を実現しようとしているのかを理解することと。そのことに対して、現在はリスクと神話の両方が存在することを認識することだと、プロネン氏は主張する。

 「サプライヤーは、誇大広告や神話をうのみにしてトラブルに巻き込まれるのではなく、綿密な調査を実施して、IPv6とそのリスクや対処方法を十分に理解していることを保証するべきだ」と同氏は締めくくった。

別冊Computer Weekly Microsoft Officeの落日(転載フリー版)も公開中!

圧倒的なシェアを誇るMicrosoft Officeに今、新たな障害が立ちふさがろうとしている。これまで同様、障害をはねのけるのか、ついに屈するのか。Office 2016とOffice 365 をめぐる諸問題を取り上げた記事を1つのPDFにまとめた。

※本PDFは、TechTargetジャパン会員でなくても無料でダウンロードできます。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ