重要なのは「VoIP」ユニファイドコミュニケーションのセキュリティの勘所

ユニファイドコミュニケーション導入に際して注意すべきセキュリティ上の脅威と、その対策に役立つ製品を具体的に紹介する。

[Joel Dubin，TechTarget]

　ユニファイドコミュニケーション（UC）は、中堅企業を含むあらゆる規模の企業に恩恵をもたらす可能性がある。中継回線やPBX（構内交換機）、電話機器などの追加なしにデータ、音声、ビデオをすべて1つのネットワークに統合するため、スタッフと予算に余裕がない中堅企業は時間と経費を節約できるからだ。

　UCのメリットは、社内のすべての電子的トラフィックを同一のネットワークに統合し、それを同じスタッフで維持管理できるので、通信技術を専門とするスタッフを新たに配備する必要がないということだ。その一方で欠点もある。それは、社内のすべての電子的トラフィックが統合されるネットワークは、従来の社内ネットワークが抱えているのと同じセキュリティ上の弱点を抱えているということだ。

　定義上、UCは、電話、音声、ビデオ、IM（インスタントメッセージング）などのトラフィックをすべてTCP/IP上で運用することを意味する。このため、あなたの会社のネットワークに探りを入れるハッカーたちが今度は、あらゆる業務に侵入するための穴を掘り進めることができるようになる。

　しかしだからといって、UCを導入すべきではないということにはならない。それどころか、UCは、あなたの会社がこれまで依存してきた伝統的な電話網よりもセキュアなものにすることができるのだ。

　UCをセキュアにするには、従来のネットワークセキュリティのベストプラクティス、セキュアなネットワークアーキテクチャデザイン、各種のネットワーク／ハードウェアツールなどを利用する。ルータやネットワークスイッチなど、企業が既に保有しているハードウェアの中には、VoIP（Voice over IP）などのUCプロトコル用に修正、最適化しなければならないものもあるかもしれない。

最も重要なのはVoIP

　UCの中心となるのがVoIPだ。VoIPは既存のTCP/IPネットワーク上で電話システムを稼働させることにより、従来の電話回線とネットワークをリプレースする。UCの設計、あるいはそのためのネットワークハードウェアの選定に際しては、何よりもVoIPを最優先で考えなければならない。恐らく、ネットワーク上を流れるVoIPトラフィックは、データトラフィックの次に大きな部分を占めるだろう。

　UCシステムは基本的に、コンピュータのデータトラフィックが流れるのと同じネットワーク上に置かれるため、UCシステムの防御にも従来のネットワークセキュリティ手法が有効だ。まず、UCソフトウェア／トラフィックをホスティングするすべてのサーバに強固な防護を施さねばならない。すなわち、必要なサービスだけを有効にして不要なサービスは無効にする、最新のセキュリティパッチを適用する、アクセスコントロールを実施する、許可されたユーザーだけがアクセスできるようにする、といった対策を実施するということだ。もちろん、サーバをウイルス対策ソフトで防御する、ファイアウォールの内側に置く、侵入検知システム（IDS）で監視するといった対策も不可欠だ。

　こういった基本的なネットワークセキュリティ対策に加え、UCおよびVoIPがネットワーク上でセキュアな構成になるようにデザインしなければならない。できればUCトラフィックは、社内ネットワークのほかの部分（特にデータを運用するサービス）から独立した専用のサーバで処理することが望ましい。一般に、音声トラフィックとデータトラフィックは、異なるネットワーク（仮想LAN）セグメントに分離すべきだ。

　こうしておけば、ハッカーが呼制御サーバ（VoIPシステムをホスティングするサービス）に侵入したとしても、社内ネットワークのほかの部分やデータにアクセスすることはできない。デスクトップPCやワークステーションがVoIPと同じネットワークセグメント内に存在してはならないのも同じ理由による。ハッカーはネットワークに侵入するために、デスクトップ経由で侵入を受けたVoIPコネクションを探そうとするかもしれないからだ。

　通常のTCP/IPトラフィックに必要なネットワークハードウェアに加え、VoIPインフラは独自のコンポーネントを備えている。メディアゲートウェイ（MG）やメディアゲートウェイコントロール装置（MGC）などだ。MGCは、複数のMGのゲートウェイ／コントロール装置としての役割を果たす。これらのデバイスは、アナログからデジタルへの変換（音声信号を、ネットワークルータやコンピュータが読み込めるビット／バイトデータに変えること）を行う。社内ネットワーク／サーバインフラのほかの部分と同様、これらのデバイスも堅ろう化・セキュア化しなければならない。

UCを取り巻く脅威

　社内ネットワーク上でセキュアなUCアーキテクチャをデザインするに当たっては、ネットワークへの脅威に対する検討が必要だ。ネットワークのほかの部分に対する脅威と同じものもある。例えば、ハッカーはネットワークに侵入する手段として、VoIPやUCを攻撃しようとするかもしれない。彼らはVoIP／UCを、データを悪用したり、盗んだりする目的でシステムに侵入するためのバックドアの1つとして見なしているのだ。また、ハッカーたちはDoS（サービス妨害）攻撃の一部として、会社のネットワークにトラフィックの洪水を引き起こすためにVoIP／UCを利用する可能性もある。

　しかしほかのネットワーク攻撃とは異なり、特にVoIPの場合は単に無料で電話をかけたり、秘密の会話を盗み聞きしたりするためだけに、企業の電話サービスに寄生しようとする攻撃者のターゲットになる可能性もある。かつてハッカーたちは、「ウォーダイヤリング」に熱中したことがあった。これは、自動ダイヤラーを使ってPBXや「生きた回線」を探し出すことによって、企業の電話ネットワークに侵入するという手口だ。今日では、ハッカーは通常のネットワークを探索するために行うポートスキャンを利用するだけで、今やネットワークの一部となった電話回線で開いているポートを見つけることができるのだ。

　ハッカーたちは、VoIPで用いられている2つの主要なプロトコルに固有の脆弱性を利用しようとするかもしれない。2つのプロトコルとは、SIP（Session Initiation Protocol）とSCCP（Skinny Call Control Protocol）だ。SCCPはCisco SystemsのUCデバイスで採用されている独自のプロトコルだ。SIPとSCCPに関連した問題としては、各種のバッファオーバーフローのほか、SQLインジェクション攻撃の脆弱性などがある。

　UCを導入する上での要件としては、そのほかにも、暗号化、アクセスコントロール、エンドポイントセキュリティなどがある。HTTPトラフィックを防御するために一般に利用されている暗号化技術のSSL（Secure Sockets Layer）は、UCで使用されるTCP/IPトラフィックにも有効だ。アクセスコントロールは、許可されたユーザーだけが会社のUCシステムを使用できるようにするために必要だ。またエンドポイントセキュリティは、社内のデスクトップPCやワークステーションと同様のエンドポイントと見なされるようになった電話機器などの通信デバイスが、社内ネットワークに侵入するためのバックドアになるのを防止する。

　こういった要求に応える中堅企業向けの製品を以下にリストアップした。この市場のベンダーとしては、Cisco、Sipera Systems、FaceTime Communicationsなどがある。

　「Cisco ASA 5500」シリーズは、中堅企業向けのセキュリティアプライアンスだ。この製品はファイアウォールとして機能するほか、ネットワークに入ってくる音声／ビデオに対するリアルタイム防御機能を提供する。SSLやIPsecによるVPN（Virtual Private Network）を通じた音声トラフィックの暗号化機能、特にSIPとSCCP向けのアクセスコントロール機能も提供する。SIPとSCCPは静的ポートを使用しないため、ほかのネットワークプロトコルよりもコントロールするのが難しいのだ。

　Sipera Systemsも、「IPCS」シリーズというUC用のセキュリティアプライアンスを提供している（国内は未発売）。同社は6月、製品をアップグレードしてSIPトランクプロバイダーサービスとの連携を改善した。Siperaの製品には、アクセスコントロールのための証明書プロビジョニングプロキシや、リモート電話の配備のためのLDAP（Lightweight Directory Access Protocol）ディレクトリとの連携といった機能も含まれている。

　IMセキュリティ市場では老舗のFaceTime Communicationsは、「Unified Security Gateway」（USG）という製品を提供している。USGは従来型のWebアプリケーションファイアウォールとして機能し、SNS（ソーシャルネットワーキングサービス）などのWeb 2.0アプリケーションの脅威を阻止する。それだけでなく、公衆IMサービス、Skype、P2P通信、MicrosoftのOffice Communication Server、IBMのLotus Sametimeなど、VoIPとともに企業のUCパッケージに含まれる可能性のあるサービスをフィルタリングする軽量アプライアンスとしての役割も果たす。

　これらのツールの購入に当たっては、自社のビジネスニーズを注意深く検討し、自分の会社にUCが適しているかどうか判断する必要がある。その上で、これらのツールが自社のネットワーク、アーキテクチャ、インフラに対応しているかどうかを検討すること。セキュアなUCを構築するのは中堅企業でも十分に可能であり、総合的なネットワーク計画の一部として位置付ける必要がある。

本稿筆者のジョエル・デュビン氏はCISSP（公認情報システムセキュリティ専門家）資格を持つ独立系コンピュータセキュリティコンサルタント。 Microsoft MVPに選ばれ、Web／アプリケーションセキュリティを専門とする。著書に「The Little Black Book of Computer Security」（29th Street Press）があり、シカゴのラジオ局WIITでコンピュータセキュリティの番組を担当。「IT Security Guy」ブログも運営している。

関連ホワイトペーパー

VoIP | アクセス制御 | Cisco Systems（シスコシステムズ） | 暗号化 | SSL | バッファオーバーフロー | ファイアウォール | IDS