セキュアで手軽なIPv6移行ソリューションを実現したい

米ブルーコートシステムズ
シニアテクノロジスト IPv6アーキテクト
チン・リ氏

2009.06.26

　現行のインターネット・プロトコルIPv4から次世代のIPv6への移行は，いずれは企業やプロバイダなどが直面する課題だ。米ブルーコートシステムズは，この移行をスムーズかつセキュリティ・ポリシーを確保しつつ実現するソリューションを準備中だ。このソリューションの概要と利点を，同社のシニアテクノロジスト IPv6アーキテクトであるチン・リ氏に聞いた。

（聞き手は山崎洋一＝日経NETWORK）

IPv6への移行の進捗について，どのように分析しているか。

米ブルーコートシステムズシニアテクノロジスト IPv6アーキテクトのチン・リ氏

　IPv6を導入すると，そのネットワークの“境界線”がなくなるといえる。グローバル・アドレスとプライベート・アドレスの区別がなく，NAT（network address translation）がなくなるためだ。それから，これはIPv6に限ったことではないが，拠点や個人事業を営む人にとってはネットワークの業務利用と私用があいまいになるケースが増えている。この点でも，境界線はなくなっていくといえる。

　話をNATに戻すと，これがなくなると利用できるアプリケーションが増えるとみられる。そうするとセキュリティ対策も，場所，時間，利用するコンテンツなどいろいろな面で，ユーザーのレベルに合わせて実施する必要があるだろう。つまり，インテリジェントかつ柔軟なセキュリティ対策が求められる。

　IPv4からIPv6への移行は，すべてプラスに作用するとは限らない。IPv6アドレスはグローバルなので，IPsecやSSLといった“セキュア・トンネル”で通信を保護する必要があるだろう。またアドレスの一部を自動生成するため，割り当てたアドレスを把握することも必要になる。

　IPv4からIPv6への移行は，いくつかのフェーズを経る。これまでに“移行フェーズ1”というべきルーターやスイッチをIPv6対応にする時期は完了したと考える。今は，アプリケーションやサービスを移行する“フェーズ2”の時期。ここが複雑で難しい。データの中身を見て，それに合ったポリシーを適用していかなくてはならないからだ。

どのような移行ソリューションを提供することを考えているか。

　我々のソリューションは，セキュア・プロキシ（セキュリティ・ポリシーの検査と適用が可能なプロキシ）のアプライアンスだ。そこで，IPv6に対応したセキュア・プロキシ・アプライアンスを提供することを考えている。このアプライアンスを使うと，ネットワークをIPv4とIPv6のデュアル・スタックにすることなく，IPv4とIPv6のネットワークを共存させられる。クライアント側はIPv4のまま，IPv6環境にアクセスできる。セキュリティ・ポリシーに影響を与えることもなく導入可能だ。

　セキュア・プロキシは，アプリケーション層のプロトコルを理解できる。ユーザーやコンテンツを管理する際に使うセキュリティ・ポリシーのエンジン，コンテンツのキャッシュ，WAN最適化といった機能も，IPv6に対応させる。UI（ユーザー・インタフェース）も今と同じだ。現行のセキュア・プロキシに慣れているユーザーは，IPv6に対応しても同じように使える。

　利点はまだある。アプリケーション・ベンダーがIPv6に対応するのを待つ必要もなく，すぐに展開できる。これはBCP（事業継続計画）の観点からも重要なことだ。地域ごとのコンプライアンス要件も，すぐに実装できる。ITスタッフがIPv6のトレーニングをする必要がないのも利点だ。我々はこのソリューションを，「IPv4 to IPv6トランジション・イネーブラ」と位置付けている。IPv4の資産のROI（投資対効果）を最大限にするソリューションだともいえる。

移行の環境において，セキュア・プロキシはどのように動くのか。

　セキュア・プロキシが，クライアントとサーバーの間のトラフィックに対して透過的かつ明示的にフローに入って，取り込む。例えば，クライアントがHTTPリクエストを送ると，まずプロキシがこれを受け取る。そしてリクエストの中のヘッダーからホスト名，URLなどの情報を見て検証し，セキュリティ・ポリシーが適用されていればリクエストをプロキシからサーバーに送る。サーバーから返ってくるコンテンツはプロキシを通っていくので，ログを取ったりリポートを作ったりすることも可能だ。

　プロキシが扱うコネクションは「クライアント－プロキシ間」と「プロキシ－サーバー間」の二つある。このときのネットワーク構成は，「プロキシからクライアント側がIPv4でサーバー側がIPv6」でもいいし，「プロキシからクライアント側がIPv6でサーバー側がIPv4」もありえる。我々は「マッピング」と呼んでいるが，ブルーコートのセキュア・プロキシは，IPv4-IPv6のトランスレータの機能を持っている。

　つまり，移行ソリューションに対応したセキュア・プロキシは，レイヤー7までのコネクションを一端終端。セキュリティ・ポリシーを適用し，IPアドレスの種類を書き換えて，レイヤー7までのコネクションを張り直す。IPアドレスを書き換えるだけのしくみと違って，柔軟で強力だ。

　現行のセキュア・プロキシと同様に，アウトバウンド（ユーザー側からインターネットへ出て行く方向）ではURLフィルタリングやDLP（data loss prevention）を，インバウンド（インターネットからユーザーへの方向）ではウイルス・スキャンなどセキュリティ・ポリシーを満たすための対策を実施できる。TCP最適化などのアクセラレーションも可能だ。そのため，投資に対するリスクを最低限に抑えることができる。

　例えばプロバイダが，このしくみを利用して新しいサービス・モデルを構築して，「セキュリティ対策もできるIPv6への移行サービス」をユーザーに提供することが可能だろう。

移行ソリューションの提供形態と提供時期は。

　現在既に，当社のセキュア・プロキシを使っているユーザーは，装置に搭載するソフトウエアをアップグレードするだけで，IPv6に対応したセキュア・プロキシにできる。ハードウエアの交換は必要ない。現在，一部のユーザーにベータ・プロダクトを評価してもらっており，ソフトウエア・アップグレードの提供開始時期は未定だ。ベータ・カスタマの中には日本企業もいる。