ここにある文章は「日経BP社 v6start.net Engineer's Voice 2001/7/30」に掲載された記事です。
ブラウザが http-equiv=refresh 対応している場合は2秒後に v6start.net にある本記事へ移動します。
対応していないブラウザをお使いの方は、こちらから移動して下さい。

%Hd: "IPsecはどこへ行く" 日経BP社 v6start.net Engineer's Voice 2001/7/30

1996年、商用ファイアウォールにおけるIPSecの実装状況を調査するために、 アトランタで開催されたNETWORLD+INTEROPを訪れた。 IPSecの仕様は1年前に発行されていたが、改定される予定になっていたので、 実装を見合わせているベンダがほとんどだった。 そんな中、IPSecとパケットフィルタを併せたWindows用アプリケーションを 「これからはファイアウォールじゃなくて、 ファイアクロース(防火服)だぜ!」と宣伝している小さなブースがあった。

当時は商用ファイアウォールが乱立していた時期である。 悪者から自分達を守ってくれるのはファイアウォールしかないと 信じていた私には、この言葉に衝撃を受けた。 のちに悪者はむしろ組織の内部に多く潜んでいることに気づく。 結局自分で守らなければいけないのだ。 時代が早すぎたのか、その商品はあまり売れなかったようである。 IPv6が広まりつつある今ならば、この考え方が受け入られるかもしれない

IPv6が本当に世の中に広まった時には、 現在では想像もできないデバイスがインターネットに継っているはずだ。 ファイアウォールやNATの内側で生活していると、 何ができるのか気づくことすらできない。 夢に溢れたインターネット本来の姿を望むならば、 個々のデバイスには防火服を着せて荒野に住まわす必要がある。 そのための1つの技術としてIPSecがあると信じている。

しかし、問題は山積みなのである。

IPSEC分科会にはファイアウォールやルータのベンダーが沢山いる。 彼らが中心になってIPSecの仕様を作り上げてきたと言ってもよい。 しかし、彼らの関心はVPNに向いている。 どうしても個々のホスト同士の通信に関しては後回しになってしまう。 また彼らがIPv4にしか関心がなかったのも当然だ。 仕様を決める段階で、IPv6は市場に現れていなかったからだ。

かつてIPSecは万能で完全なセキュリティプロトコルだと信じられており、 IPSecという単語は魔法の言葉として使われていた プロトコル設計者は、セキュリティについて述べる時にはIPSecの仕様を 参照するだけで安心していた。IPv6の設計者達も同様に参照するだけだった。 しかし、実際に併せて運用してみると様々な問題が分かってきた。 つい最近になってIETFでもこれらの問題を検討するようになってきた。 基本仕様の改定版がIPSEC分科会でほのめかされている。

セキュリティについて考えるとき、「何を何からどうやって守るのか」、 つまりセキュリティポリシーを定めなければ始まらない。 そして管理者の数だけポリシーは存在する。 IPSecはその全てに対応するべく設計された。 しかし、それが仇となって設定の複雑さを招いている。 微妙なポリシーの違いや、実装の違いををうまく吸収した ガイドラインがあれば状況は改善されるのかもしれない。

IPSecを使うためには、通信するデバイス同士がいくつかのパラメータを共有する 必要がある。このパラメータを共有するためのプロトコルとしてIKEがある。 実はIKEの仕様は不完全だ。 設定の複雑さからパラメータの共有に失敗したり、 また、エラーからの回復処理が定義されていない。 IPSEC分科会では、IKEの改定版を検討している。

共有したパラメータを使うために通信相手のIPアドレスが重要になる。 しかし、移動する毎にIPアドレスが変わるデバイスの通信を考えると、 これは制約になる。移動する度にパラメータを共有しなおす必要があるからだ。 IETFでは、新しい概念をIPSecの仕様に導入し、 IKEに変わるプロトコルを設計する動きがある。

NATの内側のホストから外側のサーバにIPSecを使って通信するための仕様も 検討されている。これは、IPv6のホストからIPv4のサーバへ通信する時のことも 考慮に入れているらしい。NATやトランスレータが介在すると、どんどん複雑に なってしまうが、現状を考えるとそうも言ってられない様である。

まだまだやることは多そうである。

作者プロフィール

坂根昌一
横河電機株式会社
IT事業部
ITプロダクト事業センター
IPv6グループ

IPSecの調査実装をしていたことが縁で KAMEプロジェクトに参加。結成時以来、 先生方の背中を見て精進する毎日。 鍵交換デーモン racoon の開発者。 ネットワークのセキュリティ全般に興味があるが、 本人が面白いと思えば何にでも手を出す。 趣味は広くそこそこ深くだが、最近はまとまった 時間が取れず散歩位しかしていない。 いつかフロリダバスを釣ってやると誓っている。