headless 曰く、

米国家安全保障局 (NSA) が IPv6 移行期におけるセキュリティの問題を特定・緩和するためのガイダンスを公開している (プレスリリース、 ガイダンス: PDF、 The Register の記事)。

ガイダンスは国防総省 (DoD) やその他のシステム管理者向けに書かれており、ネットワークが IPv6 を使い始めて間がないこと、それにより成熟した IPv6 構成やツールがないこと、IPv4 を同時使用するデュアルスタックシステムでの運用になること、などによる攻撃面増加に注目した内容になっている。ガイダンスの主なポイントは以下のようなものだ。

• プライバシーの問題がある SLAAC を使わず、DHCPv6 を使用する
• 必要な場合を除いてトンネリングを避ける
• デュアルスタックシステムの IPv6 側に IPv4 と同等または上回るサイバーセキュリティシステムを実装
• 複数の IPv6 アドレスを割り当てたホストがすべてのトラフィックをデフォルトで拒否する設定になっていることを ACL で確認し、すべてのトラフィックを記録することを確実にする
• すべてのネットワーク管理者が IPv6 ネットワーク管理に必要なトレーニングを受ける

このほか、スプリット DNS の使用や IPv6 トラフィックのフィルタリング、デュアルスタックシステムでのネットワークアドレス変換使用回避などが追加の対策として紹介されている。