ネット上の監視

昨日、監視社会とベターエクスペリエンスで書いたように、監視される（＝自分の行動をオープンにする）ことでユーザーにも得られるものはある。しかし、監視されていることを意識し、それに伴うリスクがあることも理解しておく必要がある。まっとうなオンラインサービスならば、サービスに加入する際などに利用規約を許諾することが求められるが、そのようなサイトばかりではない。

さらに、ネットワークトラフィックの監視については、どこで誰が行っているのかを把握することはほとんど不可能だ。自分の契約しているISPの規約を確認することはできるかもしれないが、上位プロバイダや別ISPにまで転送されたパケットがどう扱われているかはわからない。

これは、リアルワールドで、どこに監視カメラがあり、撮影された映像がどのように利用されているかを把握できないのと同じだ。

ただ、監視カメラの場合は、よほどの有名人でない限り、誰かわからないだろうし、また同じ場所を二度三度と歩いた場合でも、同一人物かどうかはまず判別できない。しかし、ネットの場合は、アドレスから同一ユーザーであることは把握できる。ユーザーを特定することは契約しているISPでないとできないが、ユーザーの行動パターンを把握することが可能だ。

IPv6普及に対する懸念

IPv6が普及すると、状況はさらに深刻化する。現在、IPv4でも、アドレスは一定期間*1同一であることが保証される。常時接続が一般的になった現在、かなり長い期間、同一アドレスを使い続けていることも多いだろう。IPv6の場合は、それに加えて、下位64ビットがMACアドレスから派生するため、異なる場所から接続した場合でも、同一ユーザーであることが把握できてしまう。

IPv6 Privacy Extensionの活用

下位64ビットをランダムに生成された値を利用するPrivate Extensionはこの問題を解消する。正確には最小化するというべきか。いずれにしろ、下位64ビットが隠蔽することで固体を特定することはかなり難しくなる。同じCERの配下からアクセスする際には、上位64ビットが固定されることが多いため*2、完全にはアドレスをランダムにはできないが、それでも移動した場合に固体が特定されることを防ぐことができる。

いくつかの反論

残念ながら、Privacy Extensionが導入できないようなケースも存在する。

たとえば、IPv6を固体を特定することに利用したいと考えているサービスも存在する。特に、機器のモニタリングやメインテナンスをIPv6を介して行う場合には、IPv6アドレスで固体が特定できると利便性は増す。また、特に企業内ネットワークでIPアドレスを元にアクセス制御を行うことを考えるケースも多い。

このような場合、Privacy Extensionの利用は致命的だ。

それでも

ここからはまだ業界のコンセンサスが得られていない部分だが、個人的には、IPアドレスで固体を特定することは避けるべきではないかと思う。ネットワーク構築に関わる方々はすべてをネットワーク層（この場合はIP層）で解決しようとする傾向が見られるが、本来は固体の認証およびアクセス制御は上位層で行われるべきだ。すべてをネットワークで解決できると、ネットワーク設計としては単純になるのだろうが、システムはアプリケーションまで含めた全体で考えるほうが良い。必ずしも、ネットワークセントリックなアプローチが正しいとは限らない。

今後のMobile IPなどの普及に伴って、この問題はさらに顕在化するであろう*3。IPv6の普及には、この問題に対するさらなる活発な議論が必要だ。協議会などでもシナリオごとに議論されているようだが、今後はIPv6研究者だけでなく、ほかの分野の専門家も含めた開かれた議論が行うべきだろう。