みなさんこんにちは。マネージドサービス課の塩野です。
先週、何気なくSNSを眺めていたら、「CiscoがSNMPを廃止する」という投稿が目に飛び込んできました。最初は「またデマだろう」と思ったのですが、どうにも気になってCiscoの公式ドキュメントを開いてみたんです。
そこで見たものは、想像以上に大きな動きでした。
SNMPだけではありません。Telnet、FTP、TLS 1.0/1.1。30年近く使われてきた"当たり前の技術"が、次々と姿を消そうとしています。
2027年、新しく導入したネットワーク機器で監視システムが動かない。準備なく迎えれば、そんな事態も十分ありえます。
世界最大のネットワーク機器ベンダーCiscoが、業界でも例のない規模の取り組みを静かに進めています。その名も「Resilient Infrastructure(レジリエント・インフラストラクチャ)」。
この動きが、私たちのネットワーク環境にどんな影響を及ぼすのか。公式情報を元に整理してみました。
2024年11月、Ciscoが発表した業界を変える方針
これまでとは違うアプローチ
2024年11月、Ciscoは「Resilient Infrastructure」という新しいセキュリティ方針を発表しました。これ、従来の考え方とはかなり違います。
今までは「脆弱性が見つかったらパッチを当てる」という、いわば対症療法でした。でもこれからは「そもそも攻撃される可能性のある古い機能を削除する」という、予防医療的なアプローチに変わります。
Ciscoの公式ページには、こう書いてあります。
攻撃対象領域を縮小し、機密データを保護するため、安全でない機能とプロトコルは体系的に廃止され、最終的には特定のシスコ製品から削除されます。
つまり、「使わない機能、あるいは安全でない機能」をOSから物理的に削除してしまおうというわけです。パッチで塞ぐんじゃなくて、穴そのものを埋めてしまう。かなり踏み込んだ方針だと思います。
なぜ今このタイミングなのか
この動きの背景には、いくつかの要因が絡んでいます。
まず、サイバー攻撃が高度化しすぎているという現実があります。AIを活用した攻撃、国家が支援する組織的な攻撃。従来の「パッチ当てて対応」では、もう追いつかなくなってきているんです。
そしてもう一つ、米国政府の動きも大きく影響しています。
米国CISA(サイバーセキュリティ・インフラセキュリティ庁)が推進する「Secure by Design(設計段階からセキュアに)」という原則。Ciscoはこれに真正面から応えた形です。実際、Ciscoの最高セキュリティ責任者Anthony Grieco氏は、CISAの「Secure by Design Pledge」への支持を公式に表明しています。
重要インフラのセキュリティは、もはや個別企業の努力だけの話じゃない。国家戦略の一部になっているんですね。
他のベンダーはどうなのか
「Ciscoだけの動きなのか?」という点、気になりますよね。
調べてみたところ、Juniper Networks、Arista Networks、Fortinet、HPE Arubaといった主要ベンダーも、古いプロトコルの使用は推奨しない方針を示しています。
ただし、です。Ciscoのように具体的なバージョン番号とタイムラインを明示した段階的廃止計画を公表しているベンダーは、現時点では見つかりませんでした。
| ベンダー | 古いプロトコルへの対応 | 段階的廃止計画の公表 |
|---|---|---|
| Cisco | 非推奨 | あり(詳細なロードマップ公開) |
| Juniper | 非推奨(デフォルト無効化済み) | 確認できず |
| Arista | 非推奨(セキュリティ勧告) | 確認できず |
| Fortinet | 非推奨(デフォルト無効化済み) | 確認できず |
| HPE Aruba | 非推奨 | 確認できず |
つまり、Ciscoが業界の先頭を走っている状況です。ただ、セキュリティ強化という大きな方向性は業界共通なので、他社も遅かれ早かれ追従する可能性は高いでしょう。
あなたの環境にも影響が?廃止対象リスト
Cisco公式の「Feature Deprecation and Removal Details」ページを見て、正直驚きました。こんなに多くの機能が列挙されているとは。
主要なものを整理してみます。
監視・管理プロトコルの廃止対象
最も影響が大きそうなのが、SNMP(Simple Network Management Protocol)です。
| 廃止対象 | 理由 | 備考 |
|---|---|---|
| SNMPv1 | コミュニティストリング(平文)のみで認証 | 最も古いバージョン |
| SNMPv2c | コミュニティストリング(平文)のみで認証 | 現在最も普及している |
| SNMPv3 noAuthNoPriv | 認証も暗号化もなし | v3でも危険な設定 |
| SNMPv3 authNoPriv | 認証はあるが暗号化なし | 通信内容は平文 |
| SNMPv3 MD5認証 | MD5ハッシュの脆弱性 | 3DES暗号化も同時廃止 |
ここで重要なのは、「SNMPv3なら大丈夫」じゃないという点です。
SNMPv3でも、認証にSHA-256以上、暗号化にAES-128以上を使う「authPriv」設定でなければ、廃止対象になります。これ、意外と知らない人も多いんじゃないでしょうか。
リモートアクセス・ファイル転送の廃止対象
| 廃止対象 | 理由 | 影響範囲 |
|---|---|---|
| Telnet | 通信が平文で盗聴可能 | リモート管理 |
| SSH v1 | 古いバージョンで既知の脆弱性 | リモート管理 |
| FTP | ファイル転送が平文 | 設定バックアップ等 |
| TFTP | ファイル転送が平文 | IOS更新、設定転送 |
| HTTP | 通信が平文(一部例外あり) | Web管理画面等 |
これらは古くから使われているプロトコルですが、いずれも通信内容が暗号化されていないか、古い暗号化方式を使っているため、セキュリティ上のリスクがあります。
特にバックアップスクリプトでFTP/TFTPを使っている環境は、結構多いんじゃないでしょうか。
暗号化・認証関連の廃止対象
| 廃止対象 | 理由 | 解読難易度 |
|---|---|---|
| Type 0パスワード | 平文保存 | 即座に読める |
| Type 5パスワード | MD5ハッシュ | オフライン攻撃可能 |
| Type 7パスワード | Vigenère暗号(弱い) | 専用ツールで数秒 |
| TLS 1.0/1.1 | 古いバージョン | 既知の脆弱性多数 |
| 3DES暗号化 | 古いアルゴリズム | 実用的な攻撃手法あり |
| MD5認証 | ハッシュ衝突攻撃 | 衝突が容易に作成可能 |
Type 7パスワード、これは特に注意が必要です。専用ツールを使えば本当に数秒で解読できてしまうことが知られています。それでも「内部ネットワークだから」という理由で使い続けている環境、まだまだあるんじゃないでしょうか。
その他の廃止対象
| 機能 | 用途 |
|---|---|
| IP source routing | パケットルーティング制御 |
| On-Demand Routing (ODR) | 自動ルーティング |
| BootP server | ブートプロトコル |
| TCP/UDP small servers | echo、chargen、discard等 |
| IP Finger | ユーザー情報取得 |
| NTP control messages | NTP管理メッセージ |
なぜ今まで使われてきたのか
「こんなに危険なら、なぜ今まで使われてきたのか?」って思いますよね。
理由は主に3つあります。
互換性の問題。古い機器や監視システムとの互換性を維持するため、新しいプロトコルに移行できなかった。
設定の簡単さ。SNMPv2cはコミュニティストリングを一つ設定するだけで動きます。SNMPv3のauthPriv設定と比べると、確かに楽なんですよね。
認識の甘さ。「内部ネットワークなら安全」という誤解が根強かった。
でも、攻撃者が内部ネットワークに侵入するケースが増えた今、「内部だから安全」という前提は完全に崩れています。横展開(ラテラルムーブメント)という手法で、一度侵入されたら内部を自由に動き回られてしまう時代です。
段階的な移行スケジュール
Ciscoは「ある日突然使えなくなる」という事態を避けるため、3段階のスケジュールを設定しています。これは親切な配慮だと思います。
全体像
| フェーズ | 時期 | 状態 | 既存システム | 新規導入 |
|---|---|---|---|---|
| Warning(警告) | 実施中 | 警告表示のみ | 影響なし | 影響なし |
| Restriction(制限) | 近い将来 | デフォルト無効 | 自動的に継続動作 | 明示的な有効化が必要 |
| Removal(削除) | 数年以内 | 機能削除 | 使用不可 | 使用不可 |
フェーズ1:警告(Warning)、実施中
| プラットフォーム | 開始バージョン |
|---|---|
| IOS XE | 17.18.2 |
| IOS XR | 25.4.1 |
| NX-OS | 10.7.1 |
| ISE | 3.6 |
| ASA/FTD | 10.5/9.25 |
何が起きるか
対象機能を設定したり使用したりすると、コンソールやSyslogに警告メッセージが表示されます。ただし、機能自体は今まで通り動作します。
これは「そろそろ移行を検討してくださいね」という通知期間です。まだ実害はありません。
フェーズ2:制限(Restriction)
| プラットフォーム | 開始バージョン |
|---|---|
| IOS XE | 26.1.1 |
| IOS XR | 26.2.1 / 26.3.1 |
| NX-OS | 10.7.2 |
| ISE | 3.6 |
| ASA/FTD | 11.0 |
何が起きるか
対象機能がデフォルトで無効化されます。
ここが最も重要なポイントです。既存システムと新規導入で、挙動が大きく変わります。
既存システムの場合
アップグレード時に「insecure mode」が自動的に有効化されて、今まで通り動作します。ただし、ログには警告が出続けます。
新規導入の場合
「insecure mode」を明示的に有効化しない限り、対象機能は使用できません。
つまり、2026年以降に新しくCisco機器を導入する場合、SNMPv2cなどは最初から使えない可能性が出てくるということです。これ、新規案件やリプレース案件では相当注意が必要ですね。
フェーズ3:完全削除(Removal)
開始時期
未発表です。Cisco公式ページには「数年以内」としか書いてありません。
何が起きるか
機能そのものがOSから削除されます。設定コマンド自体が認識されなくなって、「insecure mode」を有効にしても動作しません。
完全に使えなくなる、ということです。
代替手段は存在する、移行先の概要
Ciscoは単に古い機能を削除するだけじゃなく、ちゃんとセキュアな代替手段を提示しています。
主な移行先
| 廃止される機能 | 推奨される代替手段 | 難易度 |
|---|---|---|
| SNMPv1/v2c | SNMPv3 authPriv (SHA-256 + AES-128/256) | 中 |
| SNMPv3(弱い設定) | SNMPv3 authPriv (強い暗号化) | 中 |
| Telnet | SSH v2 | 低 |
| FTP/TFTP | SFTP、SCP、HTTPS | 中 |
| HTTP | HTTPS | 低 |
| TLS 1.0/1.1 | TLS 1.2/1.3 | 高 |
| Type 0/5/7パスワード | Type 6 (自動変換あり) | 低 |
| MD5認証 | SHA-256以上 | 中 |
| 3DES暗号化 | AES-128以上 | 中 |
注目すべき点
SNMPv3の正しい設定
単にv3にするだけでは不十分です。authPrivレベルで、SHA-256以上の認証とAES-128以上の暗号化が必要になります。
これ、監視サーバー側も対応している必要があるので、事前確認が必須ですね。ZabbixやPRTG、Cactiなど、よく使われる監視ツールの対応状況を確認しておいた方がいいでしょう。
Type 6への自動変換
IOS XE 26.2.1以降では、Type 0/7パスワードが自動的にType 6に変換される機能が導入される予定です。これは助かります。
次世代プロトコルへの道
Ciscoは長期的には、SNMPからgNMI/gRPCなどのストリーミングテレメトリへの移行も視野に入れています。
従来のSNMPは「定期的に状態を聞きに行く」ポーリング方式でした。新しい方式は「状態が変化したら即座に通知する」プッシュ方式です。リアルタイム性が向上して、ネットワーク負荷も軽減できます。
影響を受ける可能性のある環境
もしあなたの環境が以下のような状態なら、影響を受ける可能性があります。
| 環境 | 影響度 |
|---|---|
| Zabbix、PRTG、CactiなどでSNMPv2cを使用 | 高 |
| 古い監視ソフトウェアでSNMPv3に非対応 | 高 |
| バックアップスクリプトでFTP/TFTPを使用 | 中 |
| 管理用にTelnetを使用 | 中 |
| 自動化スクリプトでHTTPを使用 | 中 |
意外とTelnetが残っている環境、まだあるんじゃないでしょうか。「内部だけだから」という理由で。
知っておくべきこと
この記事で伝えたかったことを、最後にまとめておきます。
Ciscoの「Resilient Infrastructure」は、単なる機能の整理じゃありません。業界全体のセキュリティレベルを底上げしようとする、かなり大規模な取り組みです。
重要なポイント3つ
時間はまだある
警告フェーズは既に始まっていますが、完全削除までには数年の猶予があります。慌てる必要はありませんが、「そのうちやろう」で先延ばしにするのも危険です。
影響範囲は広い
SNMPだけじゃなく、Telnet、FTP、古い暗号化方式など、多くの「当たり前」が対象になっています。思っている以上に影響範囲は広いかもしれません。
新規導入と既存システム
新規導入と既存システムで挙動が変わるため、特に新規案件では注意が必要です。「新しい機器を導入したら、SNMPv2cが使えなかった」というトラブルは、準備なしに迎えたら確実に起こります。
最後に
「まだ動いているから大丈夫」ではなく、「いつまで動くのか」を把握しておくことが大切だと思います。
まずは、Cisco公式の「Feature Deprecation and Removal Details」ページを開いて、自社環境に影響がありそうか確認してみることをお勧めします。
この記事がどなたかのお役に立てれば幸いです。
参考情報
◆ 塩野 正人
◆ マネージドサービス部 所属
◆ X(Twitter):@shioccii
◆ 過去記事はこちら
前職ではオンプレミスで仮想化基盤の構築や運用に従事。現在は運用部隊でNew Relicを使ってサービス改善に奮闘中。New Relic User Group運営。
