2006年 プレスリリース

株式会社インターネットイニシアティブ（IIJ、本社：東京都千代田区、代表取締役社長：鈴木 幸一、コード番号：3774 東証マザーズ）は、送信元IPアドレスの正当性を検証するための仕組みである「Source Address Validation」を採用し、すべての法人および個人向け接続サービスに順次導入いたします。これにより、不要な通信をバックボーンから排除し、お客様の環境を含めたネットワーク全体のセキュリティの向上と、安定した運用を実現いたします。

Source Address Validationとは、バックボーン側の通信機器で送信元IPアドレスの正当性を確認し、偽装された送信元IPアドレスを利用した通信を遮断する仕組みです。近年、DDoS攻撃などの不正通信において、送信元IPアドレスが偽装されるケースが増加しており、不要な通信が大量に流れ込むことで、ISP バックボーンやお客様のネットワーク環境に大きな負荷を与えています。送信元IPアドレスが偽装されている場合、その通信がどこからバックボーンに流入しているかを特定することが難しく、予防措置を取ることが困難でした。しかし、Source Address Validationの導入により、不正な送信元IPアドレスを持つ通信がネットワークに流入するのを未然に防ぎ、同時に不正な通信がIIJバックボーンから流出することを防止します。

Source Address Validationには、主に「ACL」(*1)によるパケットフィルタと「uRPF」(*2)による送信元IPアドレスチェックの二つの実現方法があります。ACLは、ネットワーク上に流入してよい送信元IPアドレスのリストを通信機器のインタフェース毎に適用し、フィルタリングを行う方法です。一方uRPFは、ルーターのルーティング機能を利用して、流入する送信元IPアドレスが本来の経路を辿ってきたか、経路情報と比較して確認する方法です。IIJではこの2つの手法を効率的に組み合わせることで、よりセキュアなネットワークを実現いたします。

なお、Source Address ValidationはRFC2827(BCP38)およびRFC3704(BCP84)(*3)で実装を強く推奨されており、送信元IPアドレスを偽装した通信を遮断するための有効な仕組みとして、今後広く普及することが予想されます。

IIJは今後もネットワークセキュリティ向上に尽力し、お客様に安心してご利用いただけるサービスを提供してまいります。

• (*1) ACL(Access Control List):ポリシーを細かく設定できるため、より精度の高いフィルタリングが可能。しかし、送信元リストの整合性を常に保たなければならないため、ユーザのネットワークの変化に応じてフィルタにも変更が生じ、管理や作業に手間がかかる。
• (*2) uRPF(Unicast Reverse Path Forwarding):ルーターのuRPF機能を利用することで、ユーザのネットワークに変更が生じても、常に最新の状態でフィルタをかけられ柔軟な対応ができる。いくつかのモードがあり、厳密なstrictモードでは、各通信機器のインタフェースごとに送信元を確認し、緩やかなlooseモードでは送信元IPアドレスの経路自体が存在するかどうか確認する。
• (*3)RFC(Request For Comments)：インターネット関連技術の標準化団体であるIETFが正式に発行する文書。インターネットに関わるさまざまな技術の仕様・要件を、通し番号をつけて公開している。

Source Address Validation 提供イメージ図

以上