PR

企業ユーザーにIP電話の利用が広がり始めた。しかし,IPネットワークを基盤とするだけに,IP電話用のSIPサーバーは,Webや電子メールと同様に,インターネット上の脅威にさらされる。そこから社内ネットワークに危険が及ぶ恐れもある。こうしたリスクに対処できる「セッション・ボーダー・コントローラ」などのSIP対応ゲートウエイ製品が登場している。

(河井 保博=kawai@nikkeibp.co.jp)

表1●SIP向けのセキュリティ機能を持つアプライアンス製品
 企業で採用が進み始めたIP電話。そのIP電話のセキュリティを高められるアプライアンス製品が充実してきた(表1[拡大表示])。シグナリング・プロトコルのSIP や音声データをやり取りするRTP に対応したゲートウエイである。主に,SIPサーバーを社内で運用し,インターネットを介してIP電話などを使う企業向けの製品だ。

相次ぐ専用製品やサービス

 三井物産は7月,スウェーデンのインゲートが開発した「Ingate Firewalls」を発売した(写真1[拡大表示])。「セッション・ボーダー・コントローラ」と呼ばれるゲートウエイ装置で,NATを介しても外部とIP電話を接続できる。セッション・ボーダー・コントローラとしては,NTT-MEが2003年1月に発売した米カグー・ネットワークスの「VoiceFlow」,日商エレクトロニクスと住商エレクトロニクスが販売中の米アクミ・パケットの「Net-Net Session Director」,NTTコムウェアの「SC7000N」(米ネットレイク製)などに続くものだ。

写真1●SIP向けのセキュリティ機能を備えた製品が増えている
左はスウェーデンのインゲートが開発した「Ingate Firewalls」,右は米アプリコの「ASA3800」。どちらも,SIP/RTP向けのファイアウォール機能などを持つ。

 富士通研究所も,同様の役割を担う「VoIPセキュアゲートウエイ」を開発。製品への実装を進めている。また,NTTコムウェアが6月に発売したIP電話トラフィックの制御システム「IP-TOS」,アズジェントが7月末に発売したIP電話システム「ASA3800」(米アプリコ・セキュリティ製)も,セッション・ボーダー・コントローラに似たセキュリティ機能を持つ。

 このほか,沖電気工業は7月,通信事業者や企業ユーザー向けに,IP電話システムのぜい弱性検出,対策のコンサルティングや作業代行のサービスを始めた。SIPサーバーとともに,これらの製品/サービスも企業への導入が進みそうだ。

電話だけでなくシステムも危ない

 電話のセキュリティというと,真っ先に盗聴を思い浮かべるかもしれない。しかし,IP電話はIPネットワークを基盤としたデータ通信である。従来のNTT加入電話ではあまり考慮せずに済んでいた問題点が出てくる。

図1●IP電話利用時に想定されるセキュリティ上の不安
SIPサーバーへのDoS(サービス妨害)攻撃や不正アクセスと,SIPポートなどを悪用した社内ネットワークへの不正侵入などが起こり得る。このほか,ネットワーク上での通信傍受,なりすまし,スパムなども考えられる。

 典型例が,交換機の役割を果たすSIPサーバーへのDoS(サービス妨害)攻撃(図1[拡大表示])。「汎用的なコンピュータ・ネットワーク技術をベースにしているため,コンピュータ・システムを使って,特定のSIPサーバーやIP電話機に,大量かつ一斉に発呼するような攻撃が可能になる」(NTTコムウェアのNEXIPT事業部ビジネス企画部担当課長である宮越 勝之氏)。

 ping of deathなどのように,SIPサーバー・プログラムのセキュリティ・ホールを突いて,サービス停止に追い込む攻撃も考えられる。用途が電話だけに,サーバーを止められると被害は深刻である。

 さらに,社内のコンピュータ・ネットワークまで巻き込まれる恐れが大きいのがSIPサーバーの乗っ取り。SIPサーバーは,メール・サーバーなどと同様に外部からのアクセスを受け付け,社内側のIP電話機を呼び出す役割を担う。このSIPサーバーにバッファ・オーバーフローを起こすようなセキュリティ・ホールがあれば,SIPサーバーを乗っ取られ,社内ネットワークへの侵入を許してしまうことになりかねない。

 実際,こうしたSIPのぜい弱性は,フィンランドのオウル(Oulu)大学の研究所がベンダー各社のSIPサーバー製品を対象に実証済み。2月には,この結果を基に,米CERT/CC(コンピュータ緊急対応チーム/コーディネーション・センター)がSIPのぜい弱性として報告した。