新トレースバック方式InterTrackとは

複数のネットワークをまたがるトレースバックの難しさ

　今回は「複数のネットワークをまたがるトレースバックをいかに実現するか？」について、実現の難しさと、複数のネットワークを横断してトレースバック網を構築するInterTrackについて解説します。

　なぜ「複数のネットワークを横断した『自動的な』トレースバック（トレースバック網）」の実現は難しいのでしょうか？

　1点目は技術面の課題です。今すぐ利用できるトレースバック技術はどれも「帯に短し、たすきに長し」です。第1回で紹介したように、今すぐ利用できるトレースバック技術には、SNMPを使った発信源の探知（FDB検索方式）、BGPやMPLSを使った流入口の探知（シャントルーティング方式）、ポートミラーリングや光スプリッタを使ったトレースバック（ハッシュ方式）、サンプリングを使ったトレースバック（フローサンプリング方式）の4種類があります。

　ハッシュ方式は、理論的にはどんなパケットに関しても通過点が特定できますが、ポートミラーの設定や記憶装置（プローブ）を分散配置しなければならないので、大規模なネットワークの場合、膨大な費用がかかります。

　シャントルーティング方式やフローサンプリング方式は、プローブを1か所に集中できますが、フィルタリングやサンプリングの特性から記録漏れのパケットが出てきます。FDB検索方式は発信源ホストを探し出すのには非常に有効ですが、MACアドレスベースなのでレイヤ2ネットワークでしか利用できません。

　このように、どの方式もこれといった決め手のない状況で、特定のトレースバック技術のみを使いトレースバック網を構築するのは非常にリスクが高くなります。また、トレースバック網構築技術の標準化提案が数多くあるにもかかわらず、標準化がなかなか進まない理由の1つに「みんなが一斉にトレースバック技術を導入しないと全く効果がでないのでは？」という疑問があることが挙げられます。

運用管理と法律の課題

　2点目は運用管理面での課題です。前述した4つのトレースバック技術はルーターやスイッチ、ワイヤレスアクセスポイントなどのネットワーク機器に設定を投入したり、SNMPなどでアクセスしないと利用できないトレースバック技術です。外部からもネットワーク機器に設定を投入できるようにすれば、今すぐトレースバック網を実現できるかもしれませんが、見知らぬ第三者に自分の管理するネットワーク機器を勝手に設定されてもよいというネットワークオペレーターはまずいないでしょう。

　このようなネットワーク機器へのアクセス権限のほかに、「トレースバック網悪用への懸念」も運用管理面におけるトレースバック網構築の障壁の1つです。

　具体的には「攻撃されないように隠していたトポロジーが外部に全部漏れてしまう」という情報漏えいへの懸念や、「DoS攻撃、DDoS攻撃の増幅装置として逆に利用されるのでは？」という踏み台への懸念、「通信の秘密やプライバシーが担保できないのでは？」という通信の秘密や個人情報保護の侵害についての懸念があり、しばしば議論の対象となります。悪用に対して技術的に安全性が担保されていないと、たとえ法律面で問題がなくても、トレースバック網を構築しようという気運にはなりにくいでしょう。

　3点目は法律面での課題です。いくら技術が確立し、悪用に対する技術面での担保がなされていたとしても、「そもそもトレースバックは法律的に問題があるのか？ないのか？どこまでがOKでどこまでがNGなのか？」という点が明確にならないとトレースバック技術の実運用に踏み切れないオペレーターが多いと思います。さらに、国際連携で行うとなると、各国の法整備の違いも課題となります。

　図1に示すように、トレースバック実用化には「技術面」「運用面」「法律面」の3つの課題が複雑に絡み合っているため、さまざまな角度から取り組んでいかないとなりません。それゆえにトレースバック網を実現することは非常に難しいのです。