DPI装置のURLフィルタリング機能を
活用した児童ポルノブロッキング

【技業LOG】技術者が紹介するNTTPCのテクノロジー

2012.07.26
セキュリティ
上大田 昌史

ネットワークエンジニア
上大田 昌史

取得資格:CCIE Routing and Switching / ネットワークスペシャリスト(IPA)/ ドットコムマスターダブルスター

技業LOG

「児童ポルノブロッキング」とは、性的犯罪等により制作された、「児童ポルノ」自体や、掲載されたWebサイトへの通信を遮断することにより児童ポルノの流通を防止する世界的な取り組みで、諸外国では既に実施されている国もあります。

児童ポルノは、一度インターネットに流出すると完全に消し去ることは困難で、被害児童に消えることのない苦しみを与えます。このような被害児童への人権侵害防止に貢献する上で、通信事業者として「児童ポルノブロッキング」は、今後欠かすことのできない取り組みとなっています。

今回は、DPI装置のURLフィルタリング機能の活用による、児童ポルノブロッキング実装に向けたNTTPCの取組みについて紹介します。

DPI装置とURLフィルタリング機能について

はじめに、「DPI装置」と「URLフィルタリング」について、簡単に説明したいと思います。

DPIとはDeep Packet Inspectionの略で、IPアドレス情報やポート番号、データ内容を元にトラフィック解析を行う技術です。この技術を利用してトラフィックを解析・分別し、通信帯域の制限や停止を行う装置を一般的に「DPI装置」と呼びます。また、「URLフィルタリング」はDPI機能等を利用して特定のWebサイトへの通信を遮断したり、別のWebサイトへ転送したりする機能です。この機能は、DPI装置に遮断・通過するURLを設定しておくことで機能が動作しますが、遮断するURLを設定する「ブラックリスト方式」、通過させるURLのみ指定し、その他は遮断する「ホワイトリスト方式」、サーチエンジンに投入された文字列に応じて遮断する「検索単語フィルター方式」等、装置によりさまざまな動作方式があります。

弊社で使用するのは上記のうち、「ブラックリスト方式」となります。この方式の場合、遮断すべきURLリストが必要となりますが、日々遮断対象とすべきWebサイトは増減するので、URLリストが更新された場合には、その都度機器の設定も更新する必要があります。これを手動で更新するとなると多大な運用コストがかかるため、このように定期的に更新される設定に関しては、出来る限りシステムにより自動化するのが望ましいと考えています。

弊社では、このURLリストをDPI装置に対して自動更新する部分や、後述する複雑なお客さま管理の仕組みついて、一元管理できるシステム化を進めており、ネットワークを管理している部署や、その他の関連部署が連携しながら、運用しやすいシステムの開発に向けて取り組んでいます。

図1 URLフィルタリングの仕組み

図1 URLフィルタリングの仕組み

お客さま要望に応じたURLフィルタリング

弊社で運用管理するIPネットワークは、自社ブランドである「InfoSphere」以外にも、NTT東日本やNTT西日本が提供する「フレッツ」をアクセスラインとし、ネットワークやIPアドレスを共用する形で、多数のお客さまにご利用いただいております。

お客さまは独自にサービスを提供している通信事業者であり、それぞれネットワークのポリシーをお持ちですので、お客さまごとにご要望に応じたURLフィルタリングポリシーを適用することが求められます。そのためには共用ネットワーク内でお客さまごとのトラフィックを識別することが必要となりますが、この識別のために弊社では以下の2つの方法を使用しています。

  • ソースIPアドレスによる識別
  • 「フレッツ」網の接続認証用ユーザーIDによる識別

お客さまへのサービス提供形態としては2つの提供パターンがあり、1つ目は専用のIPアドレスブロックを使用し、ネットワークのみ共用するパターン、2つ目はIPアドレスブロックとネットワーク両方を共用するパターンです。前者の場合、上記1.で記載した通り、パケットのソースIPアドレスにより識別します。これはDPI装置の基本機能で識別可能です。後者の場合は、「フレッツ」網の接続認証用ユーザーID情報を利用した識別が必要となります。

「フレッツ」網のユーザーID

上記2.の方法の説明のため、まずは「フレッツ」網のユーザーIDについて説明します。

「フレッツ」網におけるユーザーID情報は、ユーザー識別番号と事業者識別子を@で区切った、エンドユーザーごとにユニークな文字列です (以降、@の前の部分をPrefix、@の後の部分をSuffixと呼びます)。Suffixについてはお客さまやサービスごとに異なるため、これをキーとして利用することで、どのユーザーIDがどのお客さまのものかを識別できます。

図2 ユーザーIDの構成

図2 ユーザーIDの構成

ユーザーIDからトラフィックを識別する仕組み

まず、エンドユーザーは、接続する前にホームゲートウェイにユーザーID等の認証情報を設定します。ホームゲートウェイはネットワークに繋がると、自動的にRadius Server(認証サーバー)に対してユーザーIDを含む認証情報を送信して接続許可を求めます。その際にPPP (Point to Point Protocol)を利用して、認証サーバーとの間でユーザーが設定したユーザーID情報と、割り振られたIPアドレス情報等を含むRadiusパケットがやり取りされます。

図3 認証の仕組み (例:「フレッツ」網)

図3 認証の仕組み

ここで、図3の④にて行われるPPP認証について、詳細に説明します。

PPP認証を実施する際、NTE (Network Termination Equipment)とRadius Serverとの間でアトリビュート(AVP)をやり取りします。アトリビュートとは、接続認証をするためのパラメータを格納するためのもので、データの種類を示す属性番号と、実際のデータがセットになっています (図4参照)。PPP認証時はこのアトリビュートを組み合わせたRadiusパケットをやり取りします。

図4 Radiusパケット内のアトリビュート (AVP)

図4 Radiusパケット内のアトリビュート (AVP)

例としてユーザーAが「フレッツ」網に接続する場合について説明します。ユーザーAが「フレッツ」網に接続する際には、まずAccess認証が行われます。図5のようにNTE側からRadius Serverに宛てて、ユーザーAのユーザーIDが属性番号1の「user-name」等を含む、「Access Request」パケットが送信され、Radius ServerによりユーザーAが接続して良いか、認証を行います。

認証が成功して接続が許可されると、次にAccountingが開始されます。その際のRadiusパケットのうち、「Accounting Start Request」内に属性番号1の「user-name」フィールドにユーザーAのユーザーID、属性番号8の「framed-ip-address」フィールドに利用予定のIPアドレス情報が格納されており、DPI装置はこのパケットを取得してシステム内部に格納しておきます。DPI装置はIPアドレスを識別して制御・解析する機能を持っておりますので、この格納された情報を利用して、ユーザーIDのSuffix部分をキーに、お客さま独自のURLフィルタリングポリシーを設定します。

その後、ユーザーは割り振られたIPアドレスを使用して通信を開始しますが、その通信にはお客さまISP独自のポリシーが適用されることになります。もし、このユーザーAが「フレッツ」回線を切断して、IPアドレスが別のお客さまISPのユーザーBに割り当てられた場合、接続時に同様の仕組みを利用して、後から接続したユーザーBのユーザーIDとIPアドレスがDPI装置内に格納され、ユーザーBの通信には別のフィルタリングポリシーが適用されます。

図5 「フレッツ」網における認証シーケンス

図5 「フレッツ」網における認証シーケンス

児童ポルノブロッキングについて

ここで、冒頭でも記載しました児童ポルノブロッキングについて、もう少し詳細に説明します。

過去、国内ISPにおいては、電気通信事業法の「通信の秘密」に抵触する恐れや、導入コストがかかることから、児童ポルノブロッキングは積極的に実施されてきませんでした。しかし2010年ごろから国の支援のもと、業界団体等による導入に向けた法律解釈や、実現方式等が検討されてきました。その後、インターネット上に流通する児童ポルノを認定し、会員ISPに対して定期的にブロックすべき児童ポルノサイトのリストを提供する、インターネットコンテンツセーフティ協会 (ICSA)という業界団体が設立され、2011年4月に大手ISPが児童ポルノブロッキングの適用を開始しました。

児童ポルノブロッキングの方式

弊社では、今まで説明してきましたURLフィルタリング機能を利用して児童ポルノブロッキングを実装しています。

児童ポルノブロッキングを実施する際には、図6のように主に4種類の方式がありますが、日本で実施中のISPのほとんどが「DNS方式」を採用しています。この方式は導入コストも低く、比較的容易に導入可能ですが、同一のDNSサーバーを参照するユーザー全てに適用されてしまい、弊社のように運用ポリシーの異なるお客さまを多数抱えている場合、導入するのは現実的ではありません。

このDNS方式は特定ドメインのDNS解決をできなくする方式で、2つのデメリットがあります。1つ目は、ドメイン単位でブロックが適用されてしまい、児童ポルノの流通に関係のないサイトまでブロックされてしまう可能性があります。これを「オーバーブロッキング」と呼びます。2つ目はエンドユーザーがブロック対象サイトのIPアドレスを指定すれば、DNSブロッキングが施されていてもアクセスが可能となってしまいます。

今回紹介したURLフィルタリング機能ではURLごとにブロックが可能なので、「オーバーブロッキング」が発生しない上、URLとIPアドレスの両方でブロックが可能であるため、DNS方式ではブロックできない、IPアドレス指定でのアクセスについてもブロック可能です。URLフィルタリング機能は図6において「パケットフィルタリング方式」に分類されます。

弊社のお客さまの中には、何らかの事情により適用を希望されないお客さまもいると考えています。そのために、前述したお客さま要望に応じたURLフィルタリングの手法を用いて、お客さまごとに児童ポルノブロッキングの「ON/OFF」を可能にします。

図6 児童ポルノブロッキングの方式

図6 児童ポルノブロッキングの方式

最後に

現状のICSAにおけるブロッキング対象リスト作成フローでは、医師・弁護士等による児童ポルノ判定が必要になり、作成・配布までに時間と手間を要していると考えられます。このことは、児童ポルノサイト全体数から見て遮断対象サイト数が非常に少ないことや、一度ブロッキング対象になっても別サイトに移転することによりブロッキングを回避してしまうという問題につながります。
これらの問題解決の為には、リアルタイムに近い形でのブロッキング対象リスト自動生成・適用が必要になります。現在の技術・制度では困難ですが、今後のAI技術などの発達により児童ポルノを自動判別・遮断が実現し、流通を根絶できる日が来るかもしれません。

技業LOG

この記事に関連するサービスはこちら

Infosphere®

障害に強い安定稼働の法人向け
インターネットサービス

おすすめ記事

    お気軽にご相談ください

    • *
      「フレッツ」等は、NTT東日本、NTT西日本の登録商標です。