IPv4枯渇対応により生じる「IPアドレスの一意性」への影響
突然ですが皆さんは自分が使っているIPアドレスはご存知でしょうか。
一般的に皆さんのPCや家からインターネットに抜けていくにはプライベートIPとグローバルIPがあります。プライベートIPはPCの設定を確認すれば知ることができ、グローバルIPアドレスについてもWebで「確認くん」などと調べれば知ることができます。
今回はこの中のグローバルIPに着目します。
グローバルIPは組織ごとに世界で一意なアドレスが振られることで、世界をつなぐインターネット上で住所の役割を担っています。Jストリームも、皆さんのご自宅も、フリーWi-Fiも、インターネットに接続される組織はインターネット上で一意なIPアドレスを持っています。
、、、今までは。
実は近年、IPv4枯渇問題への対応としてIPv4 over IPv6技術が普及してきたことにより、1つのグローバルIPを複数の組織で共有するケースが増えてきました。技術的にはMAP-EやDS-Liteと呼ばれる技術です。これらの技術を用いてインターネットに接続している場合、自分と同じグローバルアドレスを持つ組織が複数存在することになります。
グローバルIPは世界で一意であるからこそ、インターネット上の住所としての役割を果たしていましたが、さて同じグローバルIPを持つ組織が複数存在してしまった場合、どうやって相手を特定するのでしょうか。
そこで登場するのがポート番号です。
「IPアドレス+ポート番号」で一意性を担保する近年の方式
まずは、ポート番号についての説明を軽くしておきます。
インターネットにおける殆どの通信は、IPアドレスだけでなく、ポート番号も併用して通信しています。
ポート番号は本来、どんな通信か(Webの通信、メール、ファイルのアップロード、時刻同期、etc.)を判別するのに使われる技術で、1つのIPアドレスにつき65535個のポート番号があります。そのため、1つのグローバルIPにつき65535種類の通信を同時に行うことができる計算です。
ただ、一般の家庭ではそこまで多くの通信は同時に行われることがありません。
そこでMAP-EやDS-Liteでは、ポート番号を小分けにし、複数の組織に割り振ることで、IPアドレスは同一でもポート番号により通信と組織の紐付けを行うことができるようになります。
これにより、IPアドレスを節約しつつ、「IPアドレス+ポート番号」の組み合わせにより組織の一意性を確保できるようになりました。
IPv6時代の到来で、アクセスログの記録情報項目も見直す時期に
さて、ここで表題の件のアクセスログについて触れてみましょう。
※ちなみに、Jストリームでは、サービス提供に対する配信根拠や課金根拠として、アクセスログを収集しています。そのため、新卒入社社員は部門問わず、新人研修でアクセスログについて学びます。
現在多くのシステムにおけるアクセスログでは、通信元の情報としてIPアドレスを利用しています。なにか問題があった場合などはそのIPアドレスを元に調査を進め、ブラックリストの登録や逆に通信制限の緩和などを行います。
ただ上記の通り、IPアドレスを複数の組織で共有していた場合、対象の組織を一意に特定することができないため、今まで通りの対応では不十分となってしまいます。
例えば、あるIPアドレスから攻撃と思われるアクセスが多発したため、そのIPアドレスからの通信を拒否する設定を行ったとします。対象のIPアドレスが複数の組織で共有されていた場合、うち何も問題を起こしていない組織もこの通信制限に巻き込まれてしまいます。
このように、MAP-EやDS-LiteといったIPv4 over IPv6技術の普及に伴い、アクセスログに記録が求められる通信元の情報も変化してきております。
アクセスログに記録する情報項目について、今一度見直してみる時期が来たのではないでしょうか?
では、本日はこの辺りでお別れといたします。
お読みくださりありがとうございました。