Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

SoftEtherや2ちゃんねるを遮断できるOne Point Wallの開発背景を聞く

〜とにかく簡単・シンプルに作った(ネットエージェント杉浦氏)

 ネットエージェント株式会社は、SoftEtherや2ちゃんねるなど、通常のファイアウォールでは止めにくい通信を判別してブロックするブリッジ型ファイアウォール「One Point Wall」を1月27日より販売を開始した。今回は、One Point Wallの開発経緯や仕組み、今後の展開などを、One Point Wallの開発者でもあるネットエージェント社長杉浦隆幸氏に伺った。


One Point Wallとは

ネットエージェント社長杉浦隆幸氏
 One Point Wallは、1製品につき1つのコンテンツに絞ってブロックする点が特徴。対象となるコンテンツにあわせて「One Point Wall 2ちゃんねる書き込み」「One Point Wall SoftEther」「One Point Wall WinMX」「One Point Wall FFXI」の4種類が製品化されている。価格は、100デバイスまでで98,000円。また、複数のコンテンツに対するブロック機能を1台にまとめた「One Point Wall カスタム」も用意されているが、こちらは個別対応となる。

 製品はCD-ROMに収録されており、マシンのメモリ上で動作するため、インストール作業は不要だ。CDブートが可能であり、ネットワークカードが2枚利用できるマシンであれば動作可能だという。

 実際に設置する際には、通常のファイアウォールの内側などにブリッジとして設置する。ブリッジとして動作するため、IPアドレスを設定しないで運用することもできる。ログを保存したい場合には、USBメモリなどに書き込める。


セキュリティは難しいという概念を破るため、とにかく簡単・シンプルに

 One Point Wallの1番の特徴について、杉浦氏は「セキュリティは難しいという概念を破るため、とにかく簡単・シンプルにした」と語った。1製品につき1つのコンテンツをブロックするという点も「複数コンテンツを1製品で対応させると、値段的に高額になる上に設定項目が増加するため、簡単にするために1製品につき1コンテンツにした」と説明している。

 One Point Wall設置時には、USBメモリなどにネットワークのIPアドレスなど数項目を入力するだけで設定が完了する。もし複数コンテンツを対象とした場合、コンテンツごとの設定項目が発生するため、あえて1製品につき1つのコンテンツを対応させる方針を取り、設定を簡略したのだという。

 リリースされている4製品のうち、ユーザーからの反応が1番良いのはSoftEtherで、2ちゃんねる書き込みよりも問い合わせが多いという。この点について杉浦氏は、「SoftEtherは、とにかく早急に対応する必要があるからだろう。2ちゃんねる書き込みは時間をかけて認知されていくのではないか」と分析した。


とにかく早く提供するために、制作は年末年始休みなどを利用して1カ月弱で

 SoftEtherは12月15日に発表され、12月17日にリリースされた。現在は、「SoftEther Version 0.50 Beta 3」が最新版として公開されている。簡単に仮想ネットワークを構築できるソフトとして、ある意味画期的といえるソフトだ。しかし、簡単に仮想ネットワークを構築できてしまうが故に、管理者の了承を得ずに職場PCと自宅PCを仮想ネットワークで繋ぐことも可能であり、セキュリティ面を心配する管理者の声も多い。

 杉浦氏は、このようなセキュリティ面における管理者の不安を払拭するために、SoftEtherがリリースされる前から独自に情報を入手し、One Point Wall SoftEtherの開発を始めた。制作は年末年始休みなどを挟み、おおよそ1カ月で完成したという。

 ただし、これはネットエージェントが以前から販売しているパケット監視アプリケーション「PACKETBLACKHOLE」において、かなりの技術的な蓄積があったために結果として短くなったのであって、「通常なら1〜2年程度の期間が必要だろう(同氏)」と説明した。


ポートではなくパケットの中身を見ているため、応用範囲が広い

 One Point Wall制作時に最も留意した点は“小さく・早く”することだったという。製品の性質上、非常に多くのパケットが通過するため、通信上のボトルネックにならないようにスループットなどには配慮した。また、ユーザーからもスループットへの影響に関する問い合わせは多かったという。

 これらの理由から、Linuxベースで作成し、プログラム容量は32MB程度に収まるまで改良を加えた。スループットに関しても、実際に1Gbpsまで実験・検証し、結果をWebサイト上で公開している。

 One Point Wallが通信をブロックする際の挙動については、「FF11はポート番号で判断しているが、それ以外の3製品はポートでの判断はしていない」という。SoftEtherをブロックする際には、通常のSSL通信とは明らかに異なる“SoftEther特有”の通信方法を見つけ出して判断しているという。また、このような特定方法を用いているため、通信が暗号化されている最新バージョンでも場合でも問題なく発見可能だ。したがって、HTTPSやTCP/IP直接接続、Socksサーバーいずれの経路からも、SoftEtherから仮想ハブへの通信をブロックすることができるのだという。

 SoftEther特有の通信方法の一例としては、SoftEtherは頻繁に通信が途切れるのを回避するために、サーバーとの接続を「キープアライブ」という方法で長時間保持し続けている手法などが挙げられる。製品の機密上、杉浦氏は明言していないが、恐らくキープアライブなどのSoftEther特有の通信方法を基にブロックしていると推測される。

 同様に、2ちゃんねる書き込みやWinMXなどにおいても、それぞれの通信の特徴的な部分を見つけ出し、その特徴を基に通信を特定してブロックしているという。なお、ブロックしたログは、送信元のIPアドレスやポート番号、時間などまで保存可能なため、利用者が居た場合にも通信をブロックした上で、利用者を特定することもできるとしている。


SoftEtherは無線LANのアクセスポイントなどで利用すればセキュリティの向上も

 One Point Wall SoftEtherは、SoftEtherの通信をブロックするためのソフトだが、杉浦氏はSoftEtherについて「管理者の立場から言えば、社員などに無断で使われたら非常に脅威となり得るソフトウェアだ。しかし、きちんと管理できれば、非常に便利なソフトであり、特に無線LANにおいてはセキュリティの向上に役立つだろう」と語っている。

 同氏は、SoftEtherの有効かつ安心できる利用例として、社内LANなどのゲートウェイ部分にはOne Point Wall SoftEtherを設置し、SoftEtherの利用状況を管理する。その上で、社外からの接続や無線LANのアクセスポイントからはSoftEtherを利用するという例を挙げた。無線LANの暗号方式として多く利用されているWEPには脆弱性が発見されており、SoftEtherで利用しているSSLの方が安全性が高いという理由からだ。

 このように、管理者の手が届く範囲で有効活用できれば、SoftEtherは非常に有用なソフトウェアであるため、管理者の管理を手助けするためにもOne Point Wall SoftEtherを提供している、と同氏は説明した。


今後はほかのVPNソフトやインスタントメッセンジャーなどにも対応したい

 One Point Wallの今後の予定としては、2月中にはパッケージ版の流通を開始する。また、機能面では、SoftEther以外のVPNソフトへの対応や、そのほかのアプリケーション、ゲーム系では現在βテストを実施しているリネージュIIなども検討中だとしている。

 そのほかのアプリケーションでは、特にインスタントメッセンジャー(IM)への要望が強いという。このため、IMへの対応も進めていると語り、締めくくった。


パッケージ版イメージ パッケージ版イメージその2

関連情報

URL
  One Point Wall
  http://www.netagent.co.jp/onepoint/
  関連記事:SoftEther入門(5)SoftEtherはセキュリティにとって危険か?
  http://internet.watch.impress.co.jp/static/column/sether/2004/02/06/

関連記事
2ちゃんねるへの書き込みやSoftEtherの通信をブロックできるソフト(2004/01/07)


( 大津 心 )
2004/02/13 16:28

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.