データ系と同様のセキュリティ対策がIP電話にも必須まず、乗っ取りや成りすましを防御するためにユーザーが行える自衛策としては、①パスワード管理の強化と、②海外発信規制サービスの利用がある。

①パスワード管理の強化については、単純な文字列ではなく強度の高いパスワードを用い、しかも定期的に変更することだ。あるIP-PBXメーカーの担当者は、「遠隔メンテナンスのリスクと対策は販売店に伝えているが、実際にその通り運用されるかは販売店とユーザーに任せるしかない」とこぼす。この機に改めて、メーカーは販売店へ、販売店はユーザーへ周知を徹底すべきだ。

②海外発信規制サービスの利用については通信事業者に申込を行うほか、PBXで設定できるものもある。

こうした運用上の対策に加えて今後は、IP電話システムを構築する上で、外部からの攻撃を防御するための対策も必要になってくるだろう。

要点は、データ系ネットワークと基本的に変わらない。不正アクセスやマルウェアの侵入を防ぐこと、そして、もし侵入を許した場合にデータ漏洩等につながる不審な動きを検知する仕組みを設けることだ。

なお、今回被害にあった企業の中には、パスワードを変更した後に再度侵入されたケースもあるという。「機器の脆弱性を突かれた、あるいはPCがボット化されて外部に情報を送信した可能性もある」と牧野氏は指摘する。

一般的な対策としては、ファイアウォールやIPS/IDS（侵入防御・検知システム）で不正アクセスを防御し、かつ、パケットをモニタリングして不審な通信を監視するのが有効だ。

ただし、通常のファイアウォールやIPS/IDS製品はSIPに対応しておらず、RTP（音声/動画をリアルタイムに送受信するためのプロトコル）ポートを制御する機能を備えていない。そのまま音声系ネットワークに適用することはできない。

SBCのニーズ高まる可能性そこで有効なのがSBC（セッションボーダーコントローラ）だ。

SBCには、SIPの脆弱性を狙った攻撃を防ぐセキュリティ機能が実装されている。不正アクセス・侵入防御のほか、パケット暗号化やDDos 攻撃防御等の機能も持つ。海外ではIP-PBXと合わせてSBCを使うのが一般的だが、国内でも「SBCをアプリケーションファイアウォールとして使い、正規のセッションとRTPパケットだけをIP-PBXに流すシステム構成が必要な時代になってくる」と牧野氏は話す。

とはいえ、現在国内で流通する企業向けのSBC 製品は多くなく、加えて、機種ごとに各通信事業者のIP電話サービスへの対応状況もまちまちだ。SIPパケットを監視するソリューションも不足している。

そこでネクストジェンでは、従来キャリア向けに提供してきたSBC製品と、監視ソフトウェアをベースに企業向けのセキュリティ対策ソリューションを準備している。また、それらの製品を使ってIP電話システムの脆弱性診断を行うサービスも計画中だ。今後は、SBCやこうした監視・診断ソリューションにもユーザーの注目が集まるだろう。