IPsecはアプリケーションに気取られることなくIPパケットを暗号化し,認証を提供する,強固で汎用的な技術だ。しかし,その高い安全性を実現するには,設定や運用に相当な専門知識を必要とし,それが普及の妨げにもなっている。私は今,IPsecによるグローバルなVPNを実現するためのサービス開発および運用を担当しており,IPsecの素晴らしさと問題点に向き合っている。

 IPsecの第1の問題点は設定が煩雑で難しいということだ。一般に,セキュリティは適切に設定されてはじめて効果がある。安全だと思っているが実は安全でない,というのは実はとても危険な状態だ。IPsecの設定には自由度があるが,それがかえって逆効果となっている。IPsecを理解することが難しいため,結果的に安全性を低下させる設定になりがちなのだ。

 実用面での問題もある。それは,リモート・アクセスが正式にサポートされていないことに原因がある。VPNの構築では,リモート・アクセスが必須となる。会社のLANなどに,出先からインターネット経由で安全にアクセスできれば,かなり便利なはずだ。しかし,現在のIPsecアーキテクチャはリモートア・クセスに十分に対応しておらず,ほとんどの場合,標準化されていない技術を組み合わせなければならない。

 別の問題としては,IPsec仕様を規定しているRFC群が難解であるため,まだ十分に詳細な部分まで仕様が規定されていないことがある。例えば,セキュリティの大家であるBruce Schneier氏は,IPsecが極めて複雑であるという一点のみで,IPsecは使い物にならないと断じているほどだ。実際,IPsecの基本部分は固まったのはしばらく前のことだが,異なるベンダーの装置間で相互接続性が十分に確保できるようになったのは,ここ1~2年のことである。

 IPsecの標準化や普及に当たって,これらの問題があることは,IETFに参加しているエンジニアたちもよく分かっている。今,IKEv2という新しいIPsecの鍵交換プロトコルを議論しているが,その場ではこれまでの反省を踏まえた上で,仕様開発に取り組んでいる。

 IKEv2の仕様策定においては,IKEの複雑なオプション,極端に大きい自由度,VPN対応仕様の不足,複雑な仕様書など多くの問題を解消するための努力がなされている。すでに広く普及している現在のIKEを置き換えるということには大きな反対もあるが,IKEは多くの問題を抱えているプロトコルでもあるため,IKEv2の標準化には大きな期待が寄せられている。

 IPv6はしばしば,“IPsecを標準搭載しているのでセキュリティが強固である”と喧伝される。しかし,さまざまな思惑で語られるこの文句は,残念ながら真実を語っているとは言い難い。IPsecには,守るべきIPパケットのバージョンがv4であるかv6であるかに依存する部分はほとんどない。IPv6を採用したからといって,IPv4のときよりIPsec機能が豊富になったり,高度になったりするわけではないのだ。

 もちろんIPv6は,IPv4に比べていくつかの明らかな利点がある。たとえばネットワークに端末を接続するだけで利用できるPlug and Play機能だ。巨大なサブネットにおいて,すべての端末を同時に使用可能にすることはIPv4では難しい。このように便利なIPv6に,その特徴をさらに強めるIPsecを追加すれば,IPv6の利用価値はさらに高いものとなるだろう。

 こうしたことから私たちは,IPv6に特化した,新しいPlug and PlayなIPsecアーキテクチャを設計している(http://www.ietf.org/internet-drafts/draft-kobayakawa-ipsec-ipv6-pnpipsec-reqts-00.txt)。このPlug and Play IPsecを使えば,IPv6ホスト同士の通信は,何の設定を行うこともなくいつのまにかIPsecにより暗号化される。また,エンド・ユーザーが一切の設定を行うことなく,任意の端末同士に認証を含む完全なセキュリティを提供することも可能だ。例えば,お店から買ってきたテレビとビデオ・カメラをそれぞれインターネットに接続するだけで,離れた場所に住むおばあちゃんが孫の様子を見ることができる,などといったPlug and PlayなEnd-to-Endアプリケーションも実現できるだろう。

 IPv6は私たちにとって,新たな,そして決定的なチャンスである。躊躇することなくこの機会を利用し,新しいインターネットを形作っていきたいと思う。

小早川知昭
 NTT入社以来,QoS保証サービス,ギガビットEthernetによるWANサービス,IPsecによる国際IP-VPNサービスの開発など,一貫してサービス開発に従事。現在はPlug and Play IPsecの設計とIETFにおける標準化に取り組んでいる。著書に「IPsec徹底入門」,共著に「インターネットルーティング入門」がある。週末は娘をポニーにのせるため(?)毎週中山競馬場に通う。グリーンチャンネルをIPv6マルチキャストで視聴したいと熱望している。メール・アドレスはtomoaki@nttv6.jp