 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
Check Pointアペル氏、「IPv6ではアプリケーションセキュリティが重要」 |
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
イスラエルのCheck Point Software Technologies Ltd.(以下、チェック・ポイント)は、IPv6のサポート強化を3月22日(米国時間)に発表している。今回は、同社のIPv6に対する取り組みに関して、IPv6担当技術責任者のヨニ・アペル氏と、VPNソリューションズ・マネージャーのダン・サレル氏にお話を伺った。 ■ 2002年よりIPv6のファイアウォールを提供
その中で同社では、IPv6のファイアウォールが欲しいという要望に応え、セキュリティベンダとして世界ではじめて「IPv6対応のファイアウォール」を2002年にリリースしているが、これはすでにユーザーのもとで稼働中だという。アペル氏は「例えば、企業がIPv6の(本稼働ではなく)テスト運用を使用した場合でもインターネット上にのせることによって攻撃を受けるリスクが発生してしまう。しかし、当社のステートフルインスペクション技術を使えば、セキュリティを確保した形でIPv6のデプロイが可能になる。またアプリケーションサーバーを保護するための“TCP streaming”技術により、TCPトラフィック上のセキュリティ対策もとれる」とアピールした。 ■ IPv6初のアプリケーションセキュリティを実現 また同社は、米国で行われていた相互運用性に関するIPv6の接続実験「Moonv6」のフェイズ1(2003年10月)、フェイズ2(2004年3月)に参加し、さまざまなテストを行ってきた。この実験の目的は、現実的な環境でIPv6の技術をテストし、その有効性を証明すること。フェイズ1では基本的な構成のテストを、フェイズ2ではダイナミックルーティングや、ファイアウォールなどに関するテストが実施されている。チェック・ポイントはその中で、TCPプロトコルの脆弱性をカバーする「TCP sequence verifier」など防御技術について、またパートナーとともにBGPやOSPFなどのルーティングプロトコルについてのプレゼンを行ったほか、ファイアウォールや、アプリケーションレイヤでの防御を行う「Application Intelligence」のテストを成功させた。「将来は、より高度なApplication Intelligence、より高度なネットワーク技術を使って、セキュリティを強化していくつもりだ。IPv4とは違うセキュリティがIPv6には必要だと考えている」(アペル氏)。 ■ IPv6はアプリケーションレイヤでのセキュリティ強化が必要 「まず、IPv4とIPv6では使用されるアプリケーションが異なってくるだろう。HTTPはもちろん継続して使用されるが、特にIPv6に関してはピアツーピア(P2P)のプレゼンスが強化されるだろう。今日ではまだその割合は大きくないが、将来に関しては注目に値する技術なのではないか」とアペル氏は説明する。IPv6では、プライベートアドレスという概念がなくなるため、最終的にはNATという概念もなくなる。これももちろん理由の1つだとした同氏だが、「同時にグローバルな傾向、つまり帯域の可用性を高めたいというニーズや、G3携帯電話のネットワーク対応などにも影響する」とも述べた。これに関連して、NATがなくなることのセキュリティへの影響についてアペル氏は「NATはセキュリティのフィーチャではなく、接続のフィーチャだと思っている。NATがあったから端末が守られていたのではなく、セキュリティソリューションの能力によって守られていたという認識は当社の顧客とも共通している。(NATがなくなるIPv6導入によって)ホストそのものが脅威にさらされるということは、アプリケーションを守るということの重要性が高まる、つまり当社がリーダーだと自負しているApplication Intelligenceの重要性が高まるということだ」とし、そのこと自体に対する影響はないだろうと語った。 また、IPv6ではIPsecが標準でプロトコルスタックに実装されるようになるため、ゲートウェイ同士ではなく、エンドトゥエンドでのVPN通信が簡単にできるようになる。クライアント側に処理を任せることでVPNゲートウェイの負荷を減らすことも可能になる反面、逆に不正規のVPNセッションをP2Pで張られた場合などは、管理者が感知しきれなくなってしまう危険性がある。アペル氏はこれに関して、「エンタープライズ市場のIPv6 VPNが、ゲートウェイ型主導になるのか、クライアント型が主導になるのかはニーズを見て今後判断したい」とした。 その上で同氏は、「(VPNセッションが張りやすくなることで)ゲートウェイセキュリティが脆弱になるのは確か。(昨年買収したZoneLabsのものを含めた)エンドポイントセキュリティ製品や、内部セキュリティ製品のInterSpectなどとの連携が重要になるだろう」と述べたが、実際にどういう形で、いつIPv6対応製品が提供されるのかということは、現時点ではロードマップの公開ができないということで、明らかにされなかった。 ただし、詳細は明らかにされなかったにしろ、方向性は見えてきている。サレル氏は「これらの製品はIPv6でも重要な役割を果たしていくのは間違いない。防御の機能だけでなく、パフォーマンス、管理といった部分も含めてIPv6のセキュリティ課題は大きくなっており、エンタープライズのニーズにそった形で製品を提供していきたい」と述べ、引き続きこの分野へコミットしていくという点をアピールしていた。 ■ URL Check Point Software Technologies Ltd. http://www.checkpoint.com/ チェック・ポイント・ソフトウェア・テクノロジーズ株式会社 http://www.checkpoint.co.jp/
( 石井 一志 )
|
|
|
|
|
|
|