間違いだらけのIPv6否定論

鈴木伸介

2003.11.17

　仕事柄，IPv6を導入する，運用するという話につき合うことが多い。そういう話をするたびにしばしば痛感することは，「IPv6が導入されない理由の裏には，IPv4/v6にかかわらず，そもそもIP通信に対する理解不足があるのではないか」ということだ。言い替えると，今日現在「IPv6が普及していない」理由とされている要素はいくつもあるのだが，その大半はIPv4でもIPv6でも共通な課題なのではないか，ということである。

　例えばよく言われるのが，「IPv6だとプラグ・アンド・プレイでアドレス配布されるので，セキュリティに欠ける」という話。

　そもそもアドレスを配布してはいけないような怪しげな端末をネットワークに接続させること自体が危険なのであって，ネットワークに接続すること自体を802.1xなどでちゃんと管理しておけば，プラグ・アンド・プレイでアドレス配布すること自体はさして危険ではない。ちょっと考えてみればわかるように，この考察はIPv4/IPv6どちらにも同じようにあてはまる話だ。

　「IPv6みたいにプラグ・アンド・プレイでアドレスを振ると，アドレスの管理がしにくくなって困る」という話もよく聞くが，実はこういう管理はIPv4でもちゃんとできていないことが多い。

　DHCPサーバーを使ったり，Excelで書いたアドレス台帳を使ったりしてアドレス配布を管理したところで，ソース・アドレスを偽装したパケットで攻撃をかけてくるウイルスに対しては無力だからだ（しかもそういうアドレス管理表を調べたいのは，このように「管理表には載っていないアドレスを使う端末を見つけたい」という時が多い...）

　結局ARPやNDPなどのレイヤー2情報まで調べて発生源を見つける必要があるのだが，IPv4の場合はNATが入ってしまう分，IPv6に比べると検出が余計に難しい（実はIPv4/IPv6トランスレータも本質的にNATと同じ問題をはらんでいる。だからトランスレータは必要最小限にしか動作させないことをお薦めしておく）

　「IPv6だとグローバル・アドレスを配るから，プライベート・アドレスしか配らないIPv4に比べて危険度が上がる」という話もよく聞く。

　これは「内部ネットワークの端末をインターネットに直接さらしてしまうような運用をすれば」という条件付きで正しい話である。当然のことながらIPv4だろうがIPv6だろうが，普通はルーターで適当なパケット・フィルタリングを行うので，こんなことは問題にならない。

　「グローバル・アドレスをプラグ・アンド・プレイでみんなに割り振ってしまうと，『この人にだけは外部との直接通信を認めさせたい』という運用がやりづらくなる」という向きもあるかもしれない。そもそも違う運用ポリシーで管理されるべき端末を同じネットワーク・セグメントに収容する，という発想自体が変なことなのだ。IPv4時代はアドレス空間不足のためにそうせざるをえなかったという側面もあるが，アドレス空間にゆとりのあるIPv6時代にわざわざIPv4時代と同じ制約の下でネットワーク設計する必要もないはずだ。

　例えば「認証が通った端末には，中でのみ通信可能なプレフィックスだけでなく，外へ直接通信可能なプレフィックスも配布する」という運用は，802.1xなりDHCPv6 PDなりで実現可能な話である。

　「IPv6にはファイアウオールがない」というのもよく言われる話だ。別稿で書いているのでここでは詳述しないが，これも問題の本質は，IPv4／IPv6にかかわらず，境界の関所だけで内部ネットワークの端末を守る，従来型のファイアウォール・モデルが破綻しかかっていることである。

　「IPv6を導入するコスト・メリットが薄い」というのが一番切実に語られる問題であるが，それに対しては「社会構造の変化についていく上での必要コスト」だというのが僕の考えだ。

　IPv4に比べたIPv6の最大の利点は，「IPアドレス空間拡大に伴う，IPプロトコルやIPネットワーク設計の自由度の拡大」に尽きるのではないかと思う。インターネットは10年ほど前から社会インフラとして普及し始めたが，一般社会のインターネット環境の充実やワーク・スタイルの変化などといった社会構造の変化に従って，その使い方もセキュリティ保全およびネットワークの遠隔利用という観点で見直すべき時が来ていると思う。

　IPv4を使ったままそういう見直しをすることも技術的には不可能ではないが，IPv6の方が，その自由度ゆえに，より容易にネットワークの再見直しを促進できる，というのが僕のIPv6実装者・運用者・ユーザとしての実感だ。

　IPv6導入を通じて一度，皆さんの身の回りのIPネットワーク運用ポリシーや構造や実装などを見直すことをお奨めする。

鈴木伸介
　1997年日立製作所に入社。入社以来，IPv6経路制御技術の研究開発に従事し，同社ルーター「GR2000」のIPv6経路制御技術の開発にも携わる。現在は，IPv6マルチキャスト関連の研究開発，IPv6普及啓蒙活動，日立社内をIPv6化する活動などに携わっている。2000年4月より，産学協同でIPv6対応TCP/IPスタックを開発するプロジェクト「KAMEプロジェクト」に参画しているほか，WIDEプロジェクト，Networld+Interop, IPv6 Summit, IPv6 ShowcaseなどのIPv6ネットワーク運用にも従事。IPv6高度・普及化推進評議会におけるIPv6移行WG検討メンバーでもある。