製品紹介 PacketLightのレイヤー1暗号化技術
光ファイバは簡単に盗聴される! データを守る対策ツール
岩本賢二
Wi-Fiアクセスの認証と暗号化についての脆弱性が以前、話題になりました。その後、ファームウェアの更新などでこれらの脆弱性は修正され安全になりました。アクセス部分というのは利用者の目の前の部分ですのでどうしても脆弱性などが発見されると目立ってしまいますが、「バックホールのセキュリティ」についてはどうでしょうか。
皆さんがご家庭で利用されている光ファイバネットワークは盗聴されない仕組みになっているのでしょうか。実は防御処置のなされていない光ファイバネットワークはWi-Fiよりも簡単に盗聴されてしまうことが分かっています。JANOGでも発表していたアイランドシックスの山口氏が以下の通り指摘していますので紹介させて頂きます。
光ファイバは簡単に盗聴される!
山口闘志
生活の中で輸送=道路はあって当たり前のように、ITの世界ではデータ伝達=ネットワークもつながっていて当たり前の世界になっています。
ネットワークの中での活動範囲、利用方法は飛躍的に広がり、そういった中には悪意を持った行動もあることは広く知られていると思います。
なかでも、ネットワークに対するサイバー攻撃は年々巧妙化しており、サイトを機能不能に追い込む攻撃(従来以上に負荷をかける攻撃)、情報漏洩(脆弱性を狙った攻撃)、管理権限搾取(なりすましによる攻撃)だけではなく、現在新たな脅威として認識されている1つに、「光ファイバへの攻撃」があります。
図1:サイバー攻撃の種類(一部)
物理ネットワーク=ケーブルでは、ご家庭で利用されているツイストペアケーブルが広く知られていますが、高速・広帯域が必要な物理ネットワークでは光ファイバの利用がごく一般的です。例えば海底ケーブルシステム、データセンター、企業ネットワーク、通信キャリアによる家庭用インターネット回線など世界中で利用されており、セキュリティの重要性が増しています。
光ファイバセキュリティ強化のきっかけ
一つ例を見てみましょう。光ファイバへのセキュリティ強化のきっかけは元CIA職員のエドワード・スノーデン氏の告発の影響があります。
英国の政府通信本部(GCHQ)が、世界の通信を伝送する海底ケーブルを含む200本以上の光ファイバケーブルに密かにアクセス、「電子メールの内容、Facebook上の書き込み、あらゆるインターネット履歴、通話記録」を傍受しデータを収集していたことがスノーデン氏の告発により公になりました。
従来、光ファイバネットワークは盗聴されず、セキュリティの対策は必要ないと評価されていましたが、実は光ファイバは、物理的な攻撃を受けやすく、攻撃者は通信中のパケットに容易にアクセスでき、情報を抜き取ることができてしまう。
Optical Fiber Tapping: Methods and Precautionsから引用したデータによると、1-2%の漏れた光が、光ファイバを通過するデータの100%を持っているそうです。
高帯域のファイバ接続では、大量のデータが伝送されるため、攻撃者にとっては魅力的なターゲットとなっています。
あらたな脅威~ファイバータッピング
光ファイバの盗聴には洗濯ばさみに似たハッキング機器で摘まむだけで、簡単にデータ通信を盗聴(傍受)できてしまい、この機器はインターネット上で誰でも購入可能となっており、YouTube上でもハッキング方法の動画が数多く投稿されています。この様な手法は「ファイバータッピング」と言われます。
このような光ファイバから情報を盗む「ファイバータッピング」という新たなセキュリティの脅威から重要なデータを保護するには2つの方法があると言われています。
1.光ファイバの接続に強力な物理的セキュリティを厳重に施すこと
光ファイバの経路上で誰にも触れさせないセキュリティを施せばファイバータッピングは不可能になります。
2.暗号化技術を使用して、光ファイバを通過するデータを保護=レイヤー1暗号化を施すこと
光ファイバの経路上にビルの共用部分があったり、専有部分から光ファイバが出ている場合など、物理的なセキュリティを施すことが難しい場合、レイヤー1暗号化でのセキュリティ対策をオススメします。
光ファイバ盗聴から守る方法はレイヤー1暗号化
盗聴される前提で守る=レイヤー1暗号化の勧め(光ファイバのリスクコントロール)
光ファイバの盗聴に利用する機器はどこでもだれでも購入が可能であり、かつ簡単に利用可能とういう状況の中では、ファイバータップという行為自体を完全になくすことは非常に難しい状況であります。
そこで、盗聴されても大丈夫な対策をとることによってデータを守る、というアプローチが必要になってきます。そこで「レイヤー1暗号化」、となります。そもそも物理的セキュリティを施すにはコストが掛かりすぎます。
レイヤー1とはネットワークにおけるプロトコルの機能を表したOSI参照モデルにおいて、最も物理的な接続形式を規定している通信モデルのことである、全7階層のうち第1層目に位置しています。(図2参照)
図2:OSI参照モデルLayer1イメージ図
PacketLightのレイヤー1暗号化技術で、光ファイバ盗聴から大事なデータを守る
光ファイバネットワーク機器を中心に開発・販売しているPacketLight Networks(本社:イスラエル)の暗号化技術は、DWDMリンクの性能や転送データのQoSを低下させることなく、トラフィックに対して透過的に行われるため、サービスデータの完全なエンド・ツー・エンドの透過性を実現し、10Gbイーサネットで12μ秒以下の低遅延を実現します。
本ソリューションはクライアント信号のレイヤー1でGCM-AES-256暗号化を行い、GbE/10/40/100/400Gbイーサネットサービスの全帯域をサポートします。GbE/10/40/100/400Gbイーサネット、4/8/10/16/32G FC、STM64/OC-192 SONET/SDH、OTU2/3/4に対するNIST FIPS 140-2、Common Criteria EAL2、Commercial National Security Algorithm (CNSA) Top Secret Suite B 2015の要件に準拠しています。
これにより、ユーザーは特定のトランスポンダや特定の波長に対して、暗号化/復号化機能を柔軟に有効化することが可能になります。
マックスポンダデバイスを使用して、最大 20 個の暗号化信号を 1 つの 100G または 200G OTN アップリンクに多重化することができます。暗号化は、クライアントインターフェース(サービス)ごとに行うことも、アップリンク全体(回線側)で行うこともできます。
Wi-Fiのバックボーンアクセスに限らず企業間のダークファイバ接続などの際には光ファイバからの盗聴対策を是非検討してみませんか。
PacketLight Networksは本社がイスラエルにあり、光ファイバネットワーク機器を
中心に世界中にシェアを広げている勢いのある会社です。
PacketLight 日本公式WEBサイト: https://packetlight.jp/
本件に関するお問い合わせ先
企業名:株式会社アイランドシックス
担当者名:山口闘志
TEL:03-3556-5353
Email:packetlight@iland6.com
■Wi-Biz通信(メールマガジン)の登録はこちら