ワールドニュース

米国ニュース


シスコのエンジニアが、新たなインターネット セキュリティ規格の構築に貢献

インターネット鍵交換により、VPNを利用した企業通信の管理が容易になり、セキュリティーも向上


2003年6月18日

文:Charles Waltner(ニュース@シスコ)

シスコ社員の献身的な努力と協力が実を結び、企業がインターネット上でより安全に通信できるようになる日が近づいてきました。

シスコ社のコンサルティング エンジニアであるBarbara Fraserは、シスコのIPSec(インターネット セキュリティ プロトコル)ステアリング グループの主要メンバーの協力を受け、より新しく進歩的なインターネット 鍵交換プロトコルのバージョンを実現することに、画期的な貢献をしました。

インターネット鍵交換(IKE)は、IPベースのVPNで暗号キーを取り扱う際に使用されるプロトコルです。IKEには、VPNトンネルの認証管理やセッションごとの暗号および認証方法の決定、暗号キーの生成および管理など様々な機能があります。また、企業内や企業・パートナー間でのサイト ツー サイトのVPNも容易に行えるようになります。

IKEはIPsec規格に含まれており、情報がパブリック インターネットを経由する際にデータのプライバシー、統合性および信頼性を保つために、暗号化、認証、管理のルーティンを決定するものです。

IKEの新バージョンであるIKEv2では、企業がインターネットを経由してモバイルあるいは遠隔地の従業員と安全な通信を行うことがさらに容易になります。また、IKEv2では、セキュリティーに関する問題が解決されるだけでなく、性能も向上しており、さらに管理の複雑さが軽減され、攻撃への耐性も強化されています。

「新バージョンでは、これまでの問題を修正し、機能を追加するだけでなく、できればVPNのセキュリティを簡素化したいと考えていました」と、Fraserは述べています。

Fraserとシスコ社のセキュリティのエキスパートたちは、インターネット エンジニア グループ タスク フォース(IETF)のIPSecワーキング グループで、改良型のIKEプロトコルの開発に取り組んでいました。Fraserは、最近2年間は実際にIETFワーキング グループの共同議長も務めていました。IETFは、インターネットに関連する技術規格を制定する主要な組織となっています。

VPN管理を改善して欲しいというネットワーク運営企業からの要請により、IETFではIKEv2の開発に着手することを決定しました。何年間も、ネットワーク マネージャーたちは、相互運用性に関する問題とセキュリティの脆弱性の両方の原因となっていた、オリジナル バージョンの欠点に悩まされていました。KEv1のもっとも顕著な欠点としては、ユーザーレベル認証でのサポートの欠落、リモート アクセスのクライアントに設定を送信するサポートの欠如、キーの再生成ができない、トンネルの「死活」を認識できない(トンネルが機能しているか、ピアがアライブな状態かどうか、などを知ること)、といったことが指摘されていました。Fraserによれば、IKEに関する問題の多くは、暗号規格には想定されていなかった新技術が出現したことが原因になっているそうです。

とくに、IETFがIKEの最初のバージョンを開発したときには、ネットワーク アドレス トランスレーション デバイス(NAT)が一般的ではなかった、とFraserは述べています。NATデバイスには、データ パケットのアドレスを書き換えてしまうという欠陥があり、これはIKEでは処理するパケットをアドレス情報で識別するために、VPNでの問題となっていました。その後、この問題に対処するソフトウエアを開発したベンダーもありましたが、いくつもの占有技術が生まれるという結果を招いてしまいました。IKEv2規格は、NAT関連の問題に対するソリューションが仕様として統合されています。

IKEv2では、レガシー認証プロトコルの取扱方法も改善されています。IKEv1では、ユーザーレベル認証のガイダンスは提供されておらず、認証はハードウエアの識別に基づいて行われていましたが、この手法は、すぐに不備が明らかになりました。盗品のラップトップがVPNに設定されていれば、だれでもVPNにアクセスできたからです。その後各ベンダーは、ユーザーレベル認証をサポートする機能を開発してきました。ところが今度は、独立ベンダーの製品から相互運用性に関する問題が発生してしまいました。このジレンマを解決するために、IKEv2では、ユーザーレベル認証が仕様として実装されています。

Fraserによれば、IKEv2ではリモート アドレスの設定もできるので、IKEネゴシエーションの際にクライアントにIPアドレス(および、その他のネットワーク レベルの設定)をダウンロードすることも可能にします。この交換手法を使えば、 IKEクライアントはゲートウェイでIPアドレスを取得し、IPSecによってカプセル化された、「内部の」IPアドレスとして使用することができます。つまり、クライアントはIPアドレスを知ることができ、IPSecのポリシーとも合致させることができるのです。この点に関しても、過去にベンダーは専有のソリューションを構築しています。しかし、IKEv2にこのような機能性を実装すれば、複数の専有プロトコルがあることから自然的に発生する、相互運用性の問題は少なくなるのではないか、とIETFでは考えています。

また、IKEv2では、たとえばVPNのエンドポイントが機能しているかどうかを判断する方法など、ネットワーク マネージャーが求め続けてきた機能も実装されています。さらに、サービス拒絶攻撃に効率的に対処する機能など、 IKEには欠けていたセキュリティ面での機能も用意されています。

IKE規格の構築のために競合する各企業間の利害の調節を行うのは、率直に言って、 Fraserにはたやすいことではありませんでした。たくさんの頑迷な人たちの間に立って交渉を行い、新しい規格に最善の技術的アプローチがとれるようにコンセンサスを形成しなければなりませんでした。困難な仕事とも言えますが(IPセキュリティ ワーキング グループでは10年間に7人の議長が就任していました)、Fraserはインターネットをより良きものにする仕事に大きな満足を感じています。Fraserの計算では、ここ2年間では、自分の時間の15パーセントから20パーセントをワーキング グループの問題に充てていることになります。

「私はずっとこのプロジェクトの共同議長でいるつもりです。追い出されるか、ボロボロになるまではね」とFraserは笑います。

IETFのIPSecワーキング グループは、現在、IKEv2の規格提案をIETFに提出する前の最終準備の段階に入っています。今後さらに検討が加えられ、規格は約1年程度で認可される見込みです。

「問題はあらかた解決されています。時間はかかりましたが、今はすべて順調です。継続することが大事だってことですよね」とFraserは述べています。

Charles Waltnerは、カリフォルニア州オークランドを中心に活動しているフリーランス ライター。

▲Return to Top

お問い合わせ