写真1●情報通信研究機構の理事で、IPv6技術検証協議会の会長を務める榎並和雅氏
写真1●情報通信研究機構の理事で、IPv6技術検証協議会の会長を務める榎並和雅氏
[画像のクリックで拡大表示]

 情報通信研究機構(NICT)など国内の研究機関、通信事業者、通信機器/ソフトウエアのベンダー10社・団体は2010年7月28日、共同で「IPv6技術検証協議会」を設立したと発表した。主にセキュリティに関するIPv6の技術的課題を検証し、対策の確立や情報公開を進める。

 同協議会の会長には、NICTで理事を務める榎並和雅氏が就任(写真1)。榎並会長は協議会設立発表の記者会見で、「2011年にもIPv4アドレスの在庫が枯渇すると言われ、いよいよIPv6を併用する時代が迫っている。ただし、IPv6のセキュリティについて実際の利用環境を想定した実装、運用、性能評価などにはついては、まだ検討の余地があると考えている」と、協議会を設立した理由を述べた。

 具体的な活動としては、2010年度中にも協議会のメンバーが自社の製品などを持ち寄ってマイクロソフトの大手町テクノロジーセンターに実験環境を構築し、IPv6のセキュリティに関する検証を進める(写真2)。

写真2●マイクロソフトの大手町テクノロジーセンターの様子<br>写真は現状のサーバーラックの一部で、IPv6に関する実験設備はまだ設置されていない。
写真2●マイクロソフトの大手町テクノロジーセンターの様子
写真は現状のサーバーラックの一部で、IPv6に関する実験設備はまだ設置されていない。
[画像のクリックで拡大表示]

 なお国内には、既に「IPv6普及・高度化推進協議会」が提供しているIPv6検証環境(テストベッド)がある。IPv6環境もしくはIPv4/IPv6混在環境でのデバイスやサービスの相互運用性、新技術の検証などが可能だ(関連記事)。このテストベッドとのすみ分けについては、「IPv6技術検証協議会では、主にセキュリティにフォーカスする点が異なる」(IPv6技術検証協議会の担当者)としている。

 NICTによると、IPv6に関するセキュリティ上の課題は少なくとも60件以上はあるという(写真3)。これは、既に標準化組織やコミュニティなどで話題になっている課題や、NICTが小規模なIPv6環境を作って検証した課題をまとめた数。IPv6のプロトコル仕様自体に問題があるケースと、実装に問題があるケースがある。

 例えば、悪意のある端末が不正なRA(Router Advertisement)を流すことで、デフォルトゲートウエイを変更されてしまうなどの攻撃が考えられるという(写真4)。このほか、「IPv6では同一セグメントにIPv4より多数の端末を接続できるし、一つの端末に複数のIPv6プレフィックスを設定可能だ。そうすると、ファイアウォールなどのセキュリティ機器にかかる負荷が増える」(KDDI 運用統括本部 情報セキュリティフェローで、IPv6技術検証協議会の理事を務める中尾康二氏)といった問題もあると指摘する。

写真3●IPv6で考えられるセキュリティ上の課題のまとめ
写真3●IPv6で考えられるセキュリティ上の課題のまとめ
[画像のクリックで拡大表示]
写真4●IPv6環境における不正なRAを使った攻撃パターン
写真4●IPv6環境における不正なRAを使った攻撃パターン
[画像のクリックで拡大表示]

 検証によって明らかになった課題や対策は協議会メンバーで共有すると同時に、IPv6普及・高度化推進協議会などと連携して公開する予定。「IPv6の製品実装やネットワーク構築について、何らかのガイドライン、あるいは危険な例を挙げた『べからず集』を出そうと考えている」(KDDIの中尾氏)。新しい課題や対策が見つかった場合は、IETF(Internet Engineering Task Force)、ITU-T(International Telecommunication Union Telecommunication Standardization Sector)などネットワークに関する国際的な標準化組織にも情報を提供したいという。

 参加企業・団体は、NICTのほか、F5ネットワークスジャパン、KDDI、NTT(持ち株会社)、ソフトバンクBB、タレスジャパン、バッファロー、パロアルトネットワークス、ブロケード コミュニケーションズ システムズ、マイクロソフトの計10社・団体。協議会としては、IPv6にかかわる他の企業・団体にも、広く参加を募っていくとしている。

[発表資料へ]