セキュリティポリシーに基づくネットワークトラヒック制御の提案

抄録

インターネット等のTCP/IPをベースとした公衆ネットワークを利用する際は，ユーザが個々に保有するホスト端末やLAN等の情報システムにセ キュリティ対策を実施しているのが現状である．一般に，ネットワークがブロードバンド化され利便性が高まるほどユーザのセキュリティ対策に関する負担 が増加する傾向がある．この原因は，セキュリティの観点からインターネットを流れるトラヒックを監視・管理する十分な機能が公衆ネットワーク側に備 わっていないためである．そこで，本文では，私的セキュリティポリシーおよび公的セキュリティポリシー，という二つのタイプのセキュリティポリシーを 公衆ネットワークに設定し，パケットフィルタリング技術およびサービス品質技術を用いてネットワーク層でトラヒック制御することを提案する．ここで， 私的セキュリティポリシーは従来ユーザが個々に実施しているセキュリティ対策機能であり，同機能をネットワーク側に移行して実施することで，ユーザの セキュリティ対策に関する負担を軽減する．また，公的セキュリティポリシーは，ユーザの情報通信システムの脆弱性検査結果に基づき，セキュリティレベ ルが高いユーザに優先的に帯域を割り当てることで，公衆ネットワークのトラヒックの安全性を高める．インターネットへのアクセスネットワークである NGNを対象にして本提案の適用例を示し，計算機シミュレーションにより有効性を検証した．具体的に，私的セキュリティポリシーについては，UDPフ ラッド攻撃に対する私的セキュリティポリシーを適用し，NNIでパケットフィルタリングする例を示した．NS2を用いた計算機シミュレーションによ り，UDPフラッド攻撃パケットがフィルタリングできることを確認した．同時に，私的セキュリティポリシーは適用したユーザのみならず，アクセスネッ トワークを共同利用する他のユーザの利用帯域も確保することがわかった．また，公的セキュリティポリシーについては，セキュリティレベルに応じた3つ のクラスを設け，優先制御する例を示した．同様の計算機シミュレーションにより，DiffservとWRRのサービス品質技術を組み合わせてこの公的 セキュリティポリシーが実現できることを確認した．また，セキュリティ攻撃はセキュリティレベルの低いユーザの情報通信システムを踏み台に行われるこ とが多いことから，公的セキュリティポリシーはDNSリダイレクト攻撃のような異常トラヒックが発生した場合でも正常なトラヒックを確保できることが わかった．