ページの先頭です。
このページの本文へ移動します。
テレビ会議初心者ガイド
テレビ会議初心者ガイド

テレビ会議初心者ガイド12.テレビ会議システムの暗号化機能

12.テレビ会議システムの暗号化機能

テレビ会議システム(専用機)のセキュリティについて、前々セクションにて、"パケットの漏洩は、パケットの暗号化やVPNによる暗号化で対策を施している。"と説明した。 もう少し詳しい内容を下記にまとめた。

※ 連載期間:2004年11月 ~ 2006年10月 *一部情報が連載当時のままのものがございます。ご了承ください。

テレビ会議専用機のセキュリティの考え方

テレビ会議専用機で一番重要なのは、パケットの漏洩対策。
パケットの暗号化やプライベートネットワークによる閉域化で対処する。

セキュリティの課題

  • テレビ会議専用機は専用OSのため、ウィルスに感染する可能性は極めて低い。会議のデータがディスクに残ることもないため、ハッキングも考えられない。
    • そのため、パソコンのようなセキュリティ対策ではなく、別の観点での対策が必要となる。
  • 一番注意が必要なのは、パケットの漏洩によるテレビ会議の内容の盗聴や傍受。
    • ネットワーク上を流れているデータが盗まれて、復元されると会議の様子が知られてしまう。

対策方法

  • テレビ会議システム側でパケットに対して暗号化をかける。
  • ネットワークをプライベートネットワークとして閉域化させ、他からの進入を防ぐ。

AES暗号化通信

DESよりも堅牢な暗号化を実現する。各メーカーでも、AES暗号化通信機能に対応しつつある。

AES暗号化通信とは

  • 2000年にNIST(National Institute of Standards and Technology)が認定した、米国政府標準暗号化手順(Advanced Encryption Standard : 略称AES)を指す。
  • AESが認定されるまで主に使用されていたのは、1977年にアメリカ商務省が認定したDES(Data Encryption Standard) 。
    • DESは鍵の有効長56ビットの暗号が標準で、次第に安全性が問題視されるようになった。
    • そのため、条件を設定した上で世界中から広く公募され、AESが選定された。

AESの条件

  1. 共通鍵暗号であること。
  2. ブロック長 128 Bit 鍵長は 128,192,256 が選択可能であること。
  3. ロイヤリティフリーであること。
  4. 広いプラットフォームで利用可能であること。

暗号化機能

  • 各メーカーでAES暗号化通信機能に対応しはじめている。
  • 暗号化通信に対応していない機種の場合には、外付けの暗号化装置を取り付ける方法もある。
    • 外付け装置には、現状のネットワーク構成や各装置の設定内容を変更せずに、高度なセキュリティ化を実現できるという利点もある。
外付け暗号化装置
外付け暗号化装置

3DES暗号化通信

現在の暗号化の主流。次第にAESに取って代わられつつある。

3DES暗号化通信とは

  • IBMが開発した暗号化手順(Triple - Data Encryption Standard : 略称3DES)を指す。
  • DESよりも暗号化復号化の速度は遅いが強度は高い。
  • 現在の暗号化装置で使われている暗号化の主流。
    • 徐々にAESに取って代わられようとしている。
    • IP-VPNでもよく使用されている。

セキュリティ強化とネットワーク

セキュリティを強化するためには、IP-VPNを使用する。インターネットの場合には適切な対策を施す。

IP-VPNを利用する

  • セキュリティが厳重になる。
  • FW/NAT越えが容易になる。
    • テレビ会議システムが使用するH.323プロトコルは、基本的にNATとは相性が悪い(そのままではNATを通過できない)が、IP-VPNを使用するとNATを介在せずに全てのパケットを暗号化トンネル内で通信できるようになる 。

インターネットを利用する場合は対策を施す

  • H.323機器による対応を行う。
  • H.323Proxy/ALG/NAT装置による対応を行う。
  • Session Border Controllerを使用する。
  • グローバルIP固定サービスを使用する。
    • 一番簡単。
    • グローバルIP固定サービスは、1個、8個、16個などの単位で提供される。
      • 1個しか提供されなかった場合には、グローバルIPアドレスは使用するブロードバンドルータのWAN側に割り当てられ、LAN側にはNATが介在することになる。そのため、H.323NAT対応のルーターを別途用意する。
      • 8個、16個のサービスであれば、直接テレビ会議システムにグローバルIPアドレスを割り当てることができるため、インターネットでもセキュリティ強化が簡単に行える。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18