このブログは「風見鶏」が、日々気づいたこと、思ったこと、したことを気ままに綴る日記です。2008年9月に旧ブログから引っ越しました。バックアップをご覧ください。

ゲストログインがうまくできないので、コメントを承認制にしました。スパムでないことを確認の上、公開します。判断はあくまで「風見鶏」の主観で行いますので、文句は受け付けません。(笑)承認が遅れることもままあると思いますが、あしからず・・・

システムトラブルのため、2015年以降のブログ画像と2018年5月以降の記事が消失しました。画像は鋭意、新しい物から順次復旧中ですが記事については残念ながら戻せません。残念ですが、あきらめます。

なお、ここに書いていることは、あくまで個人的な思いであり、いかなる組織をも代表、代弁するものではありませんし、無関係ですので念のため。

たまには・・・・

風見鶏 (2011年2月 4日 22:21) | コメント(0) | トラックバック(0)
今日はずっと外出で、ばたばたしていたので写真は撮れず。たまには、文章だけの日記もいいんじゃないか?。ってことで、さて、何を書こうかと・・・・・。(汗)

そう考えると、案外、最近の日記は安易に写真に頼りすぎていたような気もする。もちろん、百聞は一見にしかず、というので写真の威力は絶大ではあるのだけど、なんとなく文章的にはどんどん質が落ちてるかもしれない、という危機感も。

つーか、まぁ、どうでもいいのだけど、さすがになにか、お題がないと辛い。で、昨夜のIPv4枯渇会見の話・・・っても、昨夜は見過ごしてニュースとかTwitterで中身を拾ったのだけど。

そもそも、IPv4枯渇はもう10年くらい前から近いと言われ続けてきた。それが予想以上に持ったのは、ひとえにNATとプライベートアドレスという節約手段のおかげだった。しかし、ここにきてインターネットがビジネスに不可欠になり、そのうえ新興国でのIPアドレス需要が急増したことで、とうとうお尻に火がついたということらしい。

IPv6実装、という意味では、ネットワーク機器とOSは既に、かなりこなれた状態にある。実際、現在主流のOSの多くが、IPv6ネットワークにつないだだけで、すぐにv6をしゃべり始める。このことは、多くの一般利用者は知らない。いや、IT技術者でもネットワーク系以外の人は案外知らない。

ネットワーク機器はもうほぼ完成の域にあるといってもいいだろう。コンピュータのアプリケーションも、各プラットホームで用意されたアプリケーションフレームワークを使っていれば、多くがv6環境でも動作する。

問題は、セキュリティ製品だ。もはや、ネットワーク機器と言っていいファイアウォール製品を除けば、まだまだIPv6への対応は進んでいないのが実情だ。もちろん、IPv6においても、ネットワーク防御の最前線はファイアウォールだろうと私は思っている。v6推進派の中には、v6になれば、すべてのセキュリティはエンドツーエンドでの実装が主流になるとの持論を展開する人たちもいるが、個人利用ならばともかく、組織の場合は最低限の境界を設定することは必要だし、すべての物事をエンドポイントに押し込めるのは無理があると思う。ただ、v6を引き合いに出すまでもなく、現在すでに、境界防御の限界は見えている。マルウエアは容易にネットワーク境界を越えてしまう。だが、そういうマルウエアができてきた背景には、ネットワーク境界の存在があることは忘れてはならないだろう。直接的な攻撃を仕掛けるだけのワームはなりを潜めつつある。だが、境界がなくなったとたんに、これは息を吹き返すだろう。つまり、ネットワーク境界は第一次の防御線であり、一定の役割をこれからも果たしていくはずだ。一方、それを越えた攻撃に対しては次のレベルの防御が必要になる。その点ではv4もv6も同じだ。しかも、v6の広大なアドレス空間は攻撃側にとっても難物だ。なので、マルウエアのドライブバイダウンロードなどでエンドポイントを狙う攻撃が今以上に増えるだろうと思う。

このようなマルウエアはどんどん変化するし、特定の目的、目標に特化したものになっていくから、もはや従来のウイルス対策では、まったく追いつかない。最近では、大手対策ベンダの製品のほとんどが、たとえばWebアクセスを監視して、不審なサイトへのアクセスをブロックするような機能を備えている。問題は、いきなりIPv6化が進んだ時に、こうした仕組みがうまく追従できるかどうかという点である。今でも、ネットワーク境界に保護されない状態でインターネットに接続されているデバイスは多い。今後IPv6化で、様々なデバイスが直接接続されるようになると、攻撃側にとって踏み台にできる対象は大きく広がる。結果として、こうしたWebアクセスフィルタリングまでもがうまく機能しないようになりはしないかとの不安もある。

v6への移行シナリオもちょっと変わるかもしれない。この10年、IPv6とv4を一定期間併存させ、順次v6への移行を進めていくというソフトランディングのシナリオに基づいて、OSやネットワーク機器のデュアルスタック化が進んできた。だが、思ったように移行は進んでいない。その状態でv4割り当てがもうできなくなるとすれば、v6のみしか割り当てができず、デュアルスタックでの移行シナリオが使えないケースが一気に増えそうな気がするのだ。そもそもISPですら、一部はまだv6を正式にサポートしていない。デュアルスタックのようにエンドポイントに任せる方法ではなく、よりインフラに近い部分でのシームレスな接続が求められそうな気がする。

デュアルスタックシナリオの弊害はもうひとつある。OSだ。たとえばWindowsはVISTA以降、勝手にIPv6を喋ってしまう。つまり、誰かがこっそり会社のネットワークの中でIPv6のトンネルを張り、ルータ広告を流したとしたら、少なくともL2で同じネットワークにいるPCのいくつかは勝手にv6ネットワークに繋がってしまうだろう。しかも、一般の利用者はそれに気づかない。ある種の Man in the middle 攻撃ができる可能性もある。こういう攻撃に対して、現状のセキュリティ監視機器は結構無力だと思う。ネットワークをv6パケットが流れていることすら気づかないケースも多いのではないだろうかと危惧するのだ。もちろん、トンネルを見つける方法は存在するかもしれないが、これも常に偽装技術とのいたちごっこである。一番いやなのはこれをやるマルウエアが出回ることだ。

Googleがこの夏にもAppsのIPv6全面サポートを始めるように、クラウドも今後はv6に展開していくだろう。今アドレスを大量に食いつぶしつつあるスマートホンも遠からずv6アドレスを使い始めざるをえなくなるだろう。なぜなら、もう割り当てるv4アドレスが僅かしか残っていないからだ。そろそろセキュリティ屋さんも本腰を入れて、というよりはすでにビハインドな状況を打開すべく全力で取り組む必要があるのだろうと思う。

書くときりがないのだが、公にこういう議論をする場を、どんどん増やしていく必要があるだろうと思う。

カテゴリ:

トラックバック(0)

トラックバックURL: https://www.kazamidori.jp/MT/mt-tb.cgi/465

コメントする

カテゴリ

月別 アーカイブ

この記事について

このページは、風見鶏が2011年2月 4日 22:21に書いた記事です。

ひとつ前の記事は「暖かい一日」です。

次の記事は「気温上昇」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。