- ナレッジセンター
- 匠コラム
ファイバからの盗聴を防止する光トランスポート暗号化技術
- 匠コラム
- セキュリティ
- ネットワーク
ビジネス推進本部 応用技術部
コアネットワークチーム
松井 裕二
インターネットを通じたクラウドサービスの普及が加速するICT社会の中で、ネットワークセキュリティに対する要求はますます高まっています。
サイバー攻撃や不正なアクセス、またヒューマンエラーによる機密情報の漏洩など、多くの企業でそれらに応じたセキュリティ対策が実施されています。
今回はあまり知られていない、レイヤ1・オプティカルレイヤでのセキュリティ対策についてご紹介します
光ファイバ盗聴の脅威
まずはじめに今回のコラム執筆のきっかけになった記事を紹介します。(下記URL参照)
GCHQ taps fibre-optic cables for secret access to world’s communications
この記事によると、英国のスパイ代理店GCHQが、電話とインターネットトラフィックが流れるケーブル(光ファイバ)から情報を盗聴していると報道されています。
記事の内容をサマリーすると、
- 200箇所以上の光ファイバにタップを設置
- メールやFacebook, インターネットのアクセス履歴、通話記録などを盗聴
- 1日6億件の電話イベントを処理
- 1日の情報量は、図書館施設190以上の情報に相当する等....
盗聴が困難と思われている光ファイバから情報を窃取している記事内容です。
では、光ファイバからの盗聴はどのように行われるのでしょうか。Youtubeに幾つかの動画が上がっており、一部を紹介します。
How to Hack an Optical Fiber/IDQ(ID Quantique)
https://www.youtube.com/watch?v=GSj-8UO3SDQ
Hacking Fiber Networks/ADVA Optical Networking
https://www.youtube.com/watch?v=2XGCgafuNBg
動画では、実際の光ファイバを裸線にして、データを解析するまでの様子が写し出されています。世界中に張り巡らされて、大量のトラフィックが流れている光ファイバ。電話やインターネット情報の他、企業の機密情報、金融、軍事絡みの情報も流れていることもあるでしょう。
筆者も動画に真似て、実際に光ファイバの外装を剥き、光漏れを体験してみました。
下記の写真はファイバを裸にした上で、可視光を光ファイバに挿入、ファイバを曲げた際に光が漏れている様子を撮ったものです。
ここまでは、多少の知識があれば誰でも再現することは可能です。しかし実際の盗聴は、この漏れてくる光にカップリングデバイスなどの道具を使い、さらにデータを復元する機器などが必要であり、誰でも容易に出来るものではありません。それでも悪意あるハッカーから情報を守るためには何らかの対策は必要と言えます。
WDM機器メーカの対応
それではどのように悪意あるハッカーから光ファイバに流れる情報を守るのでしょうか。オプティカルレイヤで今出来る対策をご紹介します。
通信の暗号化適用はデータセンタ間など、特定のサービスや個々の通信を保護するために、ケースに応じて使用され、その適用に関しては、汎用的にレイヤ 3以上で行われる事の一般的です。
一方、通信キャリアなど、光ファイバ回線を提供する事業者などでは、通信設備施設への入退室管理など、物理的なセキュリティ対策は十分ですが、先に記載した光ファイバの盗聴対策まで講じているところは多くは無いと思われます。
この光ファイバの盗聴防止については、「スノーデンの暴露」も影響して特に海外の通信キャリアを中心として要望があり、光ファイバを直収するWDM機器メーカの方で要望に応える形で開発・実装が進められており、レイヤ1の伝送レベルで暗号化を実現する製品をリリースしています。
各社とも暗号化方式には、AES(Advanced Encryption Standard)-256を用い、MAC(Media Access Control)フレームを丸ごと暗号化して、WAN側の速度に合わせたOTN(Optical Transport Network)フレームのペイロードとして送受信する為、上位レイヤには影響を与えない仕様となっているようです。
弊社取扱のADVA社WDM(FSP3000)でも、オプティカルレイヤで暗号化する製品をリリースしています。使い方は簡単で、クライアント信号を波長変換するトランスポンダモジュールとWAN側のポートに、暗号化認証の設定を投入するのみで利用出来ます。下図は、その設定画面です。
設定後には、対向先のモジュールとの間で認証キーの交換を定期的に行い、リンクを確立します。オプティカルレイヤでの暗号化は、上位レイヤを意識することなく、低遅延で100%のスループットを確保するSecure回線を提供します。
遅延に関して、ADVA社の10GbE暗号化モジュールを使用して測定を行いましたが、Point-to-Point の構成で6.5μs程と、暗号化処理機能の無い汎用モジュールと比較しても遜色無い値でした。
オプティカルレイヤでの暗号化を纏めると、
- 上位レイヤに左右されず、収容するインタフェースの情報を保護
- 帯域幅は100%保障
- 低遅延
- 回線サービスとして差別化
- 簡易なオペレーションで運用かつ情報を保護
この様なメリットがあります。オプティカルレイヤでの暗号化は、情報漏洩対策の一つとして、またハッキング対策として有効です。ユースケースとして、海外では、国防で利用される回線やデータセンタ事業者、国内では金融系企業やキャリアサービスを提供される事業者などで採用されています。
まとめ:WDM機器メーカ各社のソリューション
最後にWDM機器での暗号化対応について、筆者が調べた各社のWebサイトをご紹介します。日本において、光ファイバの盗聴は意識過剰な側面もあるかも知れませんが、クラウドネットワークのセキュリティ対策の差別化要素として、検討に加えてみては如何でしょうか。
|
Vender |
Product |
URL |
|---|---|---|
|
ADVA |
FSP3000 |
http://www.advaoptical.com/en/newsroom/press-releases-english/20140514 |
|
CISCO |
Network Convergence System 2000(NCS 2000) |
http://www.cisco.com/c/en/us/products/collateral/optical-networking/network-convergence-system-2000-series/data_sheet_c78-729221.html |
|
NOKIA |
1830 Photonic Service Switch (PSS) |
https://networks.nokia.com/products/1830-photonic-service-switch |
|
CIENA |
6500 Packet Optical Platform |
http://www.ciena.com/products/wavelogic-encryption/ |
|
Coriant |
7610 Service Edge Platform |
http://www.coriant.com/products/7610.asp |
|
Infinera |
Cloud Xpress2 |
https://www.infinera.com/cloud-xpress-2-extends-data-center-interconnect/ |
|
Packetlight |
PL1000 |
http://www.packetlight.com/?CategoryID=260&ArticleID=38 |
参考文献
- Road to 100G - 100G の現状
- Road to100G-100Gインフラを導入するメリット
- Road to 100G - 100G 高信頼性の実現、冗長技術について
- Beyond 100G をめざすオプティカル技術
- Beyond 100G 光通信を支えるオプティカル技術
- 通信システムでソフトエラーが発生!
- WDM光伝送装置の新しいコンセプト Open Optical Line System(OOLS)とは?
執筆者プロフィール
松井 裕二
ネットワンシステムズ株式会社 ビジネス推進本部 応用技術部 コアネットワークチーム
所属
通信機メーカにて、NTT向け、管民需向け伝送ビジネスのシステム設計業務に従事
ネットワンシステムズ入社後、オプティカル製品(SONET/SDH,、RPR、WDMなど)の評価、検証及び案件技術支援を担当
- ADVA Certified Expert #083192
- 監理技術者
Webからのお問い合わせはこちらから
ナレッジセンターを検索する
カテゴリーで検索
タグで検索