NGNは社会のインフラを担うため,セキュリティが極めて重要になる。不正な端末を接続させない端末の認証がそのベースになる。SIMカード搭載機器用の強固な認証も提供する。手段を複合的に組み合わせることで,SPITなど新たな脅威にも対応できるようになる。
NGN(次世代ネットワーク)はユビキタス・ネット社会における社会インフラである。その使命を果たすため,インターネットや従来の電話網以上のセキュリティを確保することが重要となる。ここでいうセキュリティには様々なものが含まれるが,対応すべき脅威としては過失や災害といった偶発的な脅威,悪意あるユーザーの故意による脅威がある。また対策としては責任体制を定めて要員を訓練するなどの人的対策,耐震性のある建物に機器を設置するなどの物理的対策,ファイアウォールを設けるなどの技術的対策がある。これらのうち従来の電話網やインターネットとの違いが最も大きいのは故意による脅威に対する技術的対策である。そこで今回はその点に絞ってNGNのセキュリティを述べる。
NGNは巨大で複雑なシステムであり,攻撃する手段や対象は多岐にわたる。また各種のバグを完全に根絶することは困難である。従って,NGNでは単一の方法に頼るだけでなく,多様な手段を組み合わせて脅威から身を守ることになる。それらすべての基盤になるユーザー認証がセキュリティの核になる。
以下では全体アーキテクチャーおよびユーザー認証について述べた後,今後の課題である個々のサービスに合わせたセキュリティ技術を述べる。
三つのゾーンで機器を防御
最初にITU-Tが規定したセキュリティ・アーキテクチャーの全体像を図1に示す。
 |
| 図1●NGNのセキュリティ・アーキテクチャー ITU-T Y.2701勧告によるもの。三つのゾーンを定義し,信頼できるゾーンの機器を守る。 [画像のクリックで拡大表示] |
このアーキテクチャーは物理的な実体としてのネットワーク機器に注目し,その操作者,設置場所,ほかの機器との接続関係から機器を「信頼できるゾーン」「信頼できるがぜい弱なゾーン」「信頼できないゾーン」という三つのゾーンに分類する。そして信頼できないゾーンの機器からの攻撃を,信頼できるがぜい弱なゾーンの機器がブロックし,信頼できるゾーンの機器を守る,という構成を取る。
物理的実体としてのネットワーク機器を基本とするのは,セキュリティで最も基本となるのは物理的防御だからだ。ほとんどの機器は物理的な攻撃に対して耐性がない。従ってネットワークのオペレーターにとってセキュリティの第一歩は,その機器を自社で所有し,自社が管理する敷地内に設置することとなる。この条件を満たすのが信頼できるゾーンと信頼できるがぜい弱なゾーンの機器である。それ以外の機器,すなわちユーザーが所有する機器や,ネットワークのオペレーターが所有していても顧客の敷地にある機器は信頼できないゾーンの機器となる。
ただし物理的には機器が自社内になくても,その機器の操作はオペレーターにしかできないという場合もある。例えば特殊な光インタフェース経由でしか操作できない機器をユーザーのところに置いているといったケースである。実務上,その安全性が確信できる場合は,図右中央のように信頼できるがぜい弱なゾーンの機器とすることが認められている。
ゾーンだけでは不十分
このような3レベルのゾーンを使って防御するのは,企業におけるファイアウォールと同様の考え方であり,必ずしもこれで十分ではない。信頼できるゾーンの機器であってもウイルスやボット,スパイウエアといったマルウエア感染への対策などのセキュリティ機能は必要である。またIPやSIPなどの基本になるプロトコルならともかく,マイナーなプロトコルすべてに対してファイアウォール機能を準備することは非現実的である。
従ってサーバーやユーザー端末などの機器それ自体にマルウエア感染防御機能や情報漏えい対策を組み込み,それをファイアウォール機能と連動させるなど,状況に応じて追加の対策を取る必要がある。
NACFとIMSによる認証
NGNではエンドユーザーが網に接続する際の認証が,現在のインターネットと比べて強化される。
認証は2段階で行われる。最初はNACF(network attachment control functions)がIPアドレスを割り当てる際に行うアクセス・レベルの認証で,次はSIPのレジストレーションの際に行われるサービス・アプリケーション・レベルの認証である。
このように2段階に分離しているのはローミングのためである。SIPのレジストレーションを行うにはそのユーザーが契約しているプロバイダーのサーバーと通信しなければならない。そのためにはIPアドレスが必要だが,ユーザーがローミング中にアクセスする場合は在圏網(visited network)からIPアドレスを取得する必要があるからである。
NACFは本連載の第5,6回の「トランスポート・ストラタム」で簡単に触れた通り,アクセス・レベルの認証を行い,その結果を管理してSIPサーバーに通知する。この基本的なフローを図2に示す。NACFについてITU-Tでは現在概要だけを規定している。詳細はETSI TISPANの規定を流用しつつ作成中である。そこで以下の説明ではNACFとRACF(resource and admission control functions)というITU用語ではなく,TISPANでのNASS(network attachment subsystem)とRACS(resource and admission control subsystem)という用語を用いる。
 |
| 図2●NASSによるアクセス・レベルの認証 NASSはITU-TのNGNにおけるNACFに相当する。最初に物理回線の情報などから端末の認証を行う。 [画像のクリックで拡大表示] |
端末認証後にIPアドレスを払い出し
端末は網に接続されると,まず最初にNASSとの間で認証を行う。この認証方法としては,PPP(point-to-point protocol)やIEEE 802.1X,PANA(protocol for carrying authentication for network access)などにより明示的に行う方法や,この物理回線につながっているユーザーは自社の顧客であるとして特に認証プロトコルは動作させず暗黙で行う方法,およびそれらの組み合わせとがある。
NASSがこれらの方法で端末を認証すると,端末は次にDHCP(dynamic host configuration protocol)などを用いてIPアドレスの払い出しを受ける。この際に,次のサービス・アプリケーション・レベルの認証において必要となるSIPサーバー(P-CSCF)に接続するための情報(IPアドレスやFQDN)も通知される。またNASSは認証結果,IPアドレス情報,ユーザー・プロファイル情報をRACSやSIPサーバーに提供する。この認証により,無許可の端末に対してIPアドレスを割り当てて通信を許したり,P-CSCFのIPアドレスといった網の情報を漏らしたりすることが防止できる。
|
