特別寄稿:PacketLightのレイヤー1暗号化技術
期間限定無料公開 有料期間限定無料公開中
出典:無線LANビジネス推進連絡会
光ファイバは簡単に盗聴される! データを守る対策ツール【岩本賢二】
Wi-Fiアクセスの認証と暗号化についての脆弱性が以前、話題になった。その後、ファームウェアの更新などでこれらの脆弱性は修正され安全になった。アクセス部分というのは利用者の目の前の部分なのでどうしても脆弱性などが発見されると目立ってしまうが、「バックホールのセキュリティ」についてはどうだろうか。
家庭で利用されている光ファイバネットワークは盗聴されない仕組みになっているのか。実は防御処置のなされていない光ファイバネットワークはWi-Fiよりも簡単に盗聴されてしまうことが分かっている。これについてアイランドシックスの山口氏は、以下の通り指摘している。
光ファイバは簡単に盗聴される!【山口闘志】
生活の中で輸送=道路はあって当たり前のように、ITの世界ではデータ伝達=ネットワークもつながっていて当たり前の世界になっている。
ネットワークの中での活動範囲、利用方法は飛躍的に広がり、そういった中には悪意を持った行動もあることは広く知られていると思う。
なかでも、ネットワークに対するサイバー攻撃は年々巧妙化しており、サイトを機能不能に追い込む攻撃(従来以上に負荷をかける攻撃)、情報漏洩(脆弱性を狙った攻撃)、管理権限搾取(なりすましによる攻撃)だけではなく、現在新たな脅威として認識されている1つに、「光ファイバへの攻撃」がある。
物理ネットワーク=ケーブルでは、家庭で利用されているツイストペアケーブルが広く知られているが、高速・広帯域が必要な物理ネットワークでは光ファイバの利用がごく一般的だ。例えば海底ケーブルシステム、データセンタ、企業ネットワーク、通信キャリアによる家庭用インターネット回線など世界中で利用されており、セキュリティの重要性が増している。
光ファイバセキュリティ強化のきっかけ
一つ例を見てみよう。光ファイバへのセキュリティ強化のきっかけは元CIA職員のエドワード・スノーデン氏の告発の影響がある。
英国の政府通信本部(GCHQ)が、世界の通信を伝送する海底ケーブルを含む200本以上の光ファイバケーブルに密かにアクセス、「電子メールの内容、Facebook上の書き込み、あらゆるインターネット履歴、通話記録」を傍受しデータを収集していたことがスノーデン氏の告発により公になった。
従来、光ファイバネットワークは盗聴されず、セキュリティの対策は必要ないと評価されていたが、実は光ファイバは、物理的な攻撃を受けやすく、攻撃者は通信中のパケットに容易にアクセスでき、情報を抜き取ることができてしまう。
Optical Fiber Tapping: Methods and Precautionsから引用したデータによると、1-2%の漏れた光が、光ファイバを通過するデータの100%を持っているそうだ。
高帯域のファイバ接続では、大量のデータが伝送されるため、攻撃者にとっては魅力的なターゲットとなっている。
あらたな脅威~ファイバータッピング
光ファイバの盗聴には洗濯ばさみに似たハッキング機器で摘まむだけで、簡単にデータ通信を盗聴(傍受)できてしまい、この機器はインターネット上で誰でも購入可能となっており、YouTube上でもハッキング方法の動画が数多く投稿されている。この様な手法は「ファイバータッピング」と言われる。
このような光ファイバから情報を盗む「ファイバータッピング」という新たなセキュリティの脅威から重要なデータを保護するには2つの方法があると言われている。
1.光ファイバの接続に強力な物理的セキュリティを厳重に施すこと:光ファイバの経路上で誰にも触れさせないセキュリティを施せばファイバータッピングは不可能になる。
2.暗号化技術を使用して、光ファイバを通過するデータを保護=レイヤー1暗号化を施すこと:光ファイバの経路上にビルの共用部分があったり、専有部分から光ファイバが出ている場合など、物理的なセキュリティを施すことが難しい場合、レイヤー1暗号化でのセキュリティ対策をオススメする。
光ファイバ盗聴から守る方法はレイヤー1暗号化
盗聴される前提で守る=レイヤー1暗号化の勧め(光ファイバのリスクコントロール)
光ファイバの盗聴に利用する機器はどこでもだれでも購入が可能であり、かつ簡単に利用可能とういう状況の中では、ファイバータップという行為自体を完全になくすことは非常に難しい状況だ。
そこで、盗聴されても大丈夫な対策をとることによってデータを守る、というアプローチが必要になってくる。そこで「レイヤー1暗号化」、となる。そもそも物理的セキュリティを施すにはコストが掛かりすぎる。
レイヤー1とはネットワークにおけるプロトコルの機能を表したOSI参照モデルにおいて、最も物理的な接続形式を規定している通信モデルのことである、全7階層のうち第1層目に位置している。(図2参照)
PacketLightのレイヤー1暗号化技術で、光ファイバ盗聴から大事なデータを守る
光ファイバネットワーク機器を中心に開発・販売しているPacketLight Networksの暗号化技術は、DWDMリンクの性能や転送データのQoSを低下させることなく、トラフィックに対して透過的に行われるため、サービスデータの完全なエンド・ツー・エンドの透過性を実現し、10Gbイーサネットで12μ秒以下の低遅延を実現する。
本ソリューションはクライアント信号のレイヤー1でGCM-AES-256暗号化を行い、GbE/10/40/100/400Gbイーサネットサービスの全帯域をサポートする。GbE/10/40/100/400Gbイーサネット、4/8/10/16/32G FC、STM64/OC-192 SONET/SDH、OTU2/3/4に対するNIST FIPS 140-2、Common Criteria EAL2、Commercial National Security Algorithm (CNSA) Top Secret Suite B 2015の要件に準拠している。
これにより、ユーザは特定のトランスポンダや特定の波長に対して、暗号化/復号化機能を柔軟に有効化することが可能になる。
マックスポンダデバイスを使用して、最大20個の暗号化信号を1つの100Gまたは200G OTNアップリンクに多重化することができる。暗号化は、クライアントインターフェース(サービス)ごとに行うことも、アップリンク全体(回線側)で行うこともできる。