特別企画:
Global IPv6 Summit in Japan 2001
イベントレポート
「企業ネットワークのIPv6移行への課題」
鈴木淳也
アットマーク・アイティ 編集局
2001/12/11
■普及への大きな一歩を踏み出したIPv6
e-Japan構想にもそのキーワードが登場し、世間一般からも注目を集めた「IPv6」。2001年に入り、各キャリアからはIPv6ネットワークへの商用接続サービスが登場した。ネットワーク機器最大手のシスコシステムズからはIOSのIPv6対応が発表、マイクロソフトの最新OSであるWindows XPではIPv6スタックが標準実装されるなど、徐々にだが、IPv6普及のための下地が整いつつある。このように、2001年はIPv6にとって、飛躍のための大きな一歩を踏み出した年だったともいえる。
そのような状況のなか、12月3〜4日の2日間にわたり開催された「Global IPv6 Summit in Japan 2001(主催:財団法人インターネット協会 IPv6ディプロイメント委員会/Global IPv6 Summit in Japan 2001実行委員会。以下、IPv6 Summit)」は、国内では今回で2回目となるIPv6技術者や研究者向けの会議である。国内の関連ベンダやキャリアなど、一線で活躍する開発者や研究者が集まり、IPv6の現状について討論、今後の課題を洗い出していくというものだ。
今回は、このIPv6 Summitの2日目に行われたパネル・ディスカッション「企業ネットとIPv6」を中心に、企業内ネットワークに関して話題となったトピックのいくつかを取り上げ、企業内ネットワークの今後について考えてみたい。
■企業LANをIPv6ベースに移行するための課題
冒頭で述べたように、IPv6そのものは研究/開発フェーズから普及期へと移りつつある。IPv6 Summitでは、スピーカーの1人がIPv6普及のロードマップをロケットの打ち上げに例えていたが、これはとても分かりやすい説明である。最終的にロケットの打ち上げに成功するには、それを構成する各パーツを一番下から順番に切り離していく必要がある。IPv6の話に置き換えれば、一番下にあたるパーツがネットワーク網やネットワーク機器の対応、次がOS、その次がアプリケーション群……といった具合だ。これらすべてがそろって、初めてIPv6というロケットの打ち上げに成功するのだといえる。
では、企業内ネットワークに目を向けてみると、どうだろうか? IPv4のアドレス枯渇問題もあり、IPv6への移行はもはや必然ともいえる。あとは準備を整え、いつ移行するかがポイントなのだ。だが、IPv4で構成されたネットワークがすでに問題なく動作している以上、その作業は容易ではない。その主な阻害要因としては、
- クライアントPCのIPv6対応(OSの入れ替えや更新)
- 既存アプリケーションやシステムの対応(特に基幹システム系)
- 移行コスト(明確なコスト・メリットが分かりにくいため)
- 動作中のシステムをいかにスムーズに移行するか(業務に支障を与えない)
- セキュリティ問題(グローバルIPやファイアウォールなど)
などの項目が、IPv6 Summitの中で挙げられていた。特に、企業内ネットワークにおいてIPv6への移行を難しくしている大きな原因の1つが、移行コストの問題、つまり明確なコスト・メリットが分かりにくい点である。会場内でたびたび聞かれたフレーズだが、「携帯電話や情報家電に比べ、企業内ネットワークのIPv6対応は遅れ気味になるだろう」と言われるゆえんはここにある。これから本格的にネットワーク対応が行われる携帯電話や情報家電などに比べ、企業内ネットワークではすでに完成されたインフラがある。移行するには、明確なコスト・メリットを提示する必要があるだろう。
■IPv6のコスト・メリットを考える
ここで、パネル・ディスカッション「企業ネットとIPv6」のパネラーの1人、電通国際情報サービスの熊谷誠治氏の話に目を向けてみることにする。同氏は、社内ネットワーク上の全端末をIPv6デュアルスタック対応に刷新した企業ユーザーの代表として、パネル・ディスカッションに登場した。同氏によれば、4〜5年サイクルでやってくる社内ネットワーク刷新に合わせて、社内全端末をデュアルスタック対応を実施したのだという。そのときの最大の障害は、いかに社内を納得させるかということだった。
「一度構築したネットワークは、4〜5年はそのまま使われる。現状でIPv6を使うユーザーがいなくても、4〜5年先には状況が変わっている可能性が高い。そのときに使える環境があることが重要だ。先を考えれば、デュアルスタックを拒否する理由が見当たらない」(熊谷氏)
社内調整は難航したとのことだが、最終的にはIPv6デュアルスタックへの対応を果たした。同氏は、過去を振り返りつつ、次のように話す。
「以前、ネットワークの再構築を行った際に、やはり同様の問題が出た。当時はNetWareが主流で、TCP/IPはUNIXなど、ごく一部の限られたマシンが利用しているにすぎなかった。このとき、ネットワーク・プロトコルとして全面的にTCP/IPを導入するのには苦労した。いまでこそTCP/IPは当たり前だが、当時としては理解を求めるのは難しかった」(熊谷氏)
ネットワークは基本となるインフラであるため、ある程度の先見性が重要だと熊谷氏は指摘する。また導入の際には、トラブルを避けるべく細心の注意を払ったという。
「IPv6への移行作業は、3連休を利用して業務が停止しているタイミングを狙って実行した。ユーザーには、システムの移行を行っていることを意識させないことが重要だ。導入後に仮にトラブルが発生すると『ほらね』ということになってしまう」(熊谷氏)
■IPv6製品/サービスの提供側に求められる課題
このように、苦労の末にIPv6導入を実現させた熊谷氏は、ベンダやキャリアに対して、次のような提言も行っている。
「IPv6移行を支援する仕組みが必要だ。提供者側はIPv6への対応を付加機能のように考えているが、ユーザーにとっての意識は違う」(熊谷氏)
確かに、コスト的なハンデがなければ、IPv6の導入はより進むと考えられる。パネラーの1人、NECの藤本幸一郎氏は、ネットワーク機器を提供するベンダの1つとして、
「フィーチャーとしてのIPv6は終わり、きちんとしたモノ作りを行う時期が来ている。ベンダにとってはビジネス・チャンスに捉えるかもしれないが、ユーザーにとっては、あくまでツールの1つだ。IPv4の時代と同様に製品やサービスを提供を行っていくことが重要」(藤本氏)
と、「IPv6は特別なものではない」という意識を持つべきだと話す。また、NTTコミュニケーションズの中井哲也氏は、IPv6接続サービスを提供するキャリアの立場として、IPv6への取り組みを説明する。
「大量のデバイスを管理する仕組みなど、IPv6のメリットを生かせるサービスも提案していく」(中井氏)
単なる接続サービスにとどまらず、より移行への価値を見いだせるサービスを提案し、そのうえでIPv6を導入してよかったという事例を積み上げていきたいとする。
では、システムを構築することになるSIerにとってのIPv6はどうだろうか? 有限会社あにあにどっとこむ の橘氏は、提供者側のスキルや提案力が重要だという。
「IPv4では、技術が成熟することで日曜大工的にネットワークが構築される例が多かったが、アドレスの割り当てなど、IPv6では基本となるモデルがまだまだ未熟。きちんとした提案を行うなど、こうした部分で差別化を図っていくことになる」(橘氏)
■IPv4が残る例もある
ここまでの説明で、IPv6を導入することで、企業内ネットワークが完全に刷新されるようなイメージを抱いた方がいるかもしれないが、実際そこまでうまくいく例は少ないだろう。というのも、インフラについては比較的対応が進んでいるものの、アプリケーション側の対応はまだ始まったばかりともいえるからだ。
ftp、telnet、pingなどのコマンド・ツール、Webブラウザ、メーラなど、インターネットで基本的なアプリケーションは、比較的IPv6対応が進んでいる。また、動作している台数はまだ少ないと思われるが、Webサーバ、DNSサーバなども、最新バージョンではIPv6への対応が済んでいる。だが、ここに挙げた以外のアプリケーションのIPv6対応については、ごく限られているのが現状だ。IPv6時代のキラー・アプリケーションと呼ばれるピア・ツー・ピアのコラボレーション・ツールなど、IPv6ならではのアプリケーションの登場が待たれるところである。
「使いたいアプリケーションもないのに、移行する理由はないのではないか?」という意見はもっともだ。IPv6製品を提供する側では、「IPv6上で動くアプリケーションが少ないからインフラの普及が進まない」「IPv6を利用するためのインフラが整っていないからアプリケーションが登場しない」と、まさに「ニワトリが先か? タマゴが先か?」の論争が始まってしまう。だが、アプリケーションの未対応だけを理由に、立ち止まっているのでは、先の展開が見えない。どこかにブレイク・スルーを見いだす必要がある。
前出の橘氏は、IPv4からIPv6への移行について、次のように考えを話す。
「企業ネットワークは思いのほか大きく、末端まですべてを把握するのは不可能だ。また、企業の基幹を担うようなマシンが動いていたとして、それらのリプレースや改造は容易ではない。『この場所にはIPv6は必要ない』という場所は存在する。アプリケーションが重要だ」(橘氏)
このように、「使えなくなることのデメリットが大きい」場合を考慮した移行プランが重要だとする。
■NATの存在がIPv6普及を阻害する!?
ネットワークとセキュリティは、切っても切り離せない関係だ。IPv6 Summitの初日で基調講演を行った米マイクロソフトのJawad Khaki氏は、たびたび「NAT」「ピア・ツー・ピア」のことを取り上げ、NATとネットワーク・セキュリティの問題に触れた。
「IPv6のキラー・アプリケーションであるピア・ツー・ピアが普及しないのは、NATがトラフィックをブロックしてしまうからだ」(Khaki氏)
今回のIPv6 Summit全体における隠れたテーマの1つが、このセキュリティにあったといえる。NATは、IPv4におけるグローバルIPアドレスの問題解決手段を提供すると同時に、企業内ネットワークとインターネットとを隔離する、一種のファイアウォール機能も提供してきた。だが、それは同時に、IPv6最大のメリットである、ほぼ無限ともいえるグローバルIPアドレスを各端末に振り分け、ピア・ツー・ピアを実現する構想の障害となってしまった。
NATがある限り、ピア・ツー・ピア通信の実現は難しい。つまり、「ピア・ツー・ピアはIPv6のキラー・アプリケーション」→「ピア・ツー・ピア・アプリケーションの広がり」→「IPv6の普及」というシナリオが成り立たないことになる。ピア・ツー・ピアは、異なるネットワーク間で通信できてこそ価値が出てくるものであるため、NATでブロックされたネットワークがある限り、その真価を発揮することはできない。
■企業のセキュリティ・ポリシーに意識改革を!
今回のSummit中、NATは完全に悪者扱いだったのだが、企業のネットワーク管理者にとっては、アドレス問題解決以外の多くのメリットをもたらしている。パネル・ディスカッションにおいて、ネットワンシステムズの白橋明弘氏は、現状の企業ネットワークにおけるセキュリティの考え方を次のように話す。
「ファイアウォールやウイルス・ゲートウェイに見られるように、現在のセキュリティは“水際防衛”のモデルが中心。URLフィルタやメール・フィルタなどのように、この部分での強化をさらに行う方向で進んでいる」(白橋氏)
ある意味、集中的に管理を行いたい企業にとっては、自由なコラボレーション機能を提供するピア・ツー・ピア・アプリケーションは、じゃまな存在だという考えもできる。また、IPv6のIPアドレスでは、MACアドレスを情報として含むという特徴もある。ユニークなアドレスを構成できる反面、使用している情報機器ベンダの特定が可能など、デメリットも存在する。
IPv6に強力なセキュリティ機能を提供するIPSecについても、このような“水際防衛”モデルを推進する企業にとっては、じゃまな存在だ。エンド・ツー・エンドのセキュリティを実現するため、管理者にはどのような情報がやりとりされているか、把握できないためだ。情報漏えいを気にする企業にとっては、内容が把握できない暗号化通信は、手に余るものかもしれない。
前出の中井氏は、「これらの情報のやり取りを完全に許さない企業ポリシーなら仕方ないが……」と前置きしたうえで、
「エンド・ツー・エンドの通信を阻害せず、いかにファイアウォールを導入していくかがポイント。また、IPv6を使う以上、エンド側での対策は必須」(中井氏)
だとする。現状の問題点として、通信の自由度をもたせつつ強力なセキュリティ機能を提供するようなIPv6対応のファイアウォールやウイルス・ゲートウェイ製品がほとんどないことが挙げられる。IPv6の時代では、企業のネットワーク端末に限らず、家庭でネットワーク接続されるようなPCでさえ、DDoS攻撃にさらされる危険性がある。IPv6の普及とともに解消されてくるとは思われるが、このあたりの問題は可能な限り早急に解決される必要がありそうだ。
「企業内ネットワーク刷新の時期」といったタイミングであれば、IPv6への移行は比較的容易だろう。だが、このようなイベントがない状況で移行を推進するには、何らかのコスト・メリットを見いだす必要がある。それが、ピア・ツー・ピアであり、エンド・ツー・エンドのコラボレーションなのである。だが、ピア・ツー・ピアを実現するためには、セキュリティの壁を越える必要がある。ここで、メリットとデメリットの“せめぎあい”が発生する。
だが前述の「ニワトリ or タマゴ」論争のように、どこかにブレイク・スルーを見いだせなければ、先に進むことはできない。企業にとっては、新しいセキュリティ・ポリシーの考え方が求められる機会が、IPv6の登場によって到来したのかもしれない。
「Master of IP Network総合インデックス」 |
- 完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る (2017/7/13)
2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った - ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる (2017/7/6)
ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ - Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか (2017/7/4)
Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか - ifconfig 〜(IP)ネットワーク環境の確認/設定を行う (2017/7/3)
ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ(MTU)の変更や、VLAN疑似デバイスの作成も可能だ。
|
|