電話が使えなくなる日……VoIPセキュリティの現状と対策：理解されない音声の脅威

IP電話の企業導入が進む中、VoIPセキュリティが再注目されている。音声版スパムやDoS、盗聴などVoIPに潜むリスクは多く、電話という重要な仕事ツールをまひさせる恐れある。有効なセキュリティ対策はあるのか？

[木村 真]

　1890年、東京・横浜で電話交換が開始されて以来、電話は今や当たり前の存在となった。インターネットが通じなくても、電話があれば外部と連絡が取れる。100年以上続く電話とわたしたちの歴史は、「あって当然」から「使えて当たり前」という信頼感を築き上げてきた。

　電話はいつでも必ず使えるもの――。この考えは、想像以上にわたしたちの中にすり込まれている。そうした安心感は、公共通信事業者がインフラの信頼性を確保していたからこそ得られたものだ。企業がVoIP（Voice over IP）を導入する場合、IPネットワーク上の音声の安全性や安定性は企業側が確保しなければならない。特にセキュリティについては、盗聴やDoS（サービス妨害）攻撃などを防止する上で重視すべき課題である。

　にもかかわらず、これまで大規模なインシデントが発生しなかったこともあり、企業でのVoIPセキュリティ対策といえるものはあまり進んでいない。しかし、VoIPへの脅威は静かにではあるが着実に増している。事実、日本では企業に先んじて通信事業者がVoIPの導入を開始したが、既に数年前からDoS攻撃と思われる現象に悩まされているという。

音声のIP化に潜むセキュリティリスク

　従来の固定電話網は公共通信事業者が運用管理していたので、ユーザー側が通話の安定性やセキュリティを気にする必要はなかった。内線用の従来型交換機（PBX）も基本的には専門業者が管理しており、設定変更や障害対応も業者が行った。

　しかし、VoIPの登場で電話網の在り方は一変した。複数拠点を持つ大企業では、配線の柔軟性や運用および通話コストの削減といったメリットから、従来型PBXをIP-PBXへ置き換え、データ網と電話網をIPで統一管理する方向へ進み始めた。中小企業でも、通信事業者のIP電話サービスを利用して通話料のコストダウンを図るケースが増えている。

　通話をIP化することは、これまで公共通信事業者が行っていた回線の管理を企業側が引き継ぐということだ。IP電話サービスを利用する場合も、社内の電話網は自社の管理責任となる。つまり、通話の安定性やセキュリティは企業のシステム管理の一部として管理しなければならないのだ。

　通話の安定性については、音声の品質確保に注目が集まったこともあり、遅延やジッタ、パケットロスなどさまざまな課題が議論され、改善がなされてきた。ではセキュリティはどうか。これまでも時折警鐘は鳴らされ、例えばIETFのRFC 3711では音声データの暗号化仕様「SRTP（Secure RTP）」が提唱されている。日本でも沖電気工業、NEC、日立製作所がIP電話普及推進センターにてVoIPセキュリティ技術者向け資格制度を共同運営するなど、各種取り組みが実施されてきた。それでも、重要議題として取り上げられることは少ない。

　だが、VoIPの普及に伴い「最近はWindows Live MessengerなどのSIP（Session Initiation Protocol）ツールが業務アプリケーションとして使用されるなど、攻撃者にとっては魅力的なターゲットが増えている。攻撃パターンも機器の脆弱性も分かっている。いつアウトブレークしてもおかしくない状況」とネクストジェン ネットワークセキュリティ事業本部 本部長の杉岡弘毅氏は警告する。

関連ホワイトペーパー

VoIP | IP電話 | 暗号化 | IDS | IPS | UTM | 脆弱性 | コンタクトセンター | グループウェア | スパム