実験
IPSec対応イーサネット・カード「Intel PRO/100 S」の効果
デジタルアドバンテージ
2000/12/19
|
| 結論 |
| VPNのみならず、社内においても重要なデータを扱うPCでは暗号化を行って通信を行ったほうがよい。そういった環境では、IPSecのハードウェア・アクセラレータ機能が有効である。クライアントPCの性能を損なうことなく、暗号化/復号化が行えるからだ。現状では、一般的なイーサネット・カードとの価格差が大きいため、すべてのPCで利用することはすすめられないが、経理や開発部門といった重要なデータを扱う部署では導入を検討する価値があるだろう。 |
IPSecの必要性
|
|
|
Intel PRO/100 Sのパッケージとカード
|
| インテルのクライアントPC向けイーサネット・カードの定番「Intel PRO/100+」をベースにIPSecのハードウェア・アクセラレート機能を装備したのが、Intel
PRO/100 S。IPSecのハードウェア・アクセラレート機能は有効なのだろうか? |
これまで企業の本社と支店の間や、離れたビルにある部署同士間などの通信には、NTTなどのキャリアから専用線を借りて接続してきた。ところが、この専用線は非常に高価で、距離や帯域幅によっては月額100万円以上もかかってしまう場合がある。そのため、最近ではインターネットを経由して、社内WANをVPN(Virtual
Private Network)を使って構築する例が増えている。インターネットでは経路途中での情報漏洩や改ざんなどの危険性があり、機密性の高い情報を交換するのは難しかった。だが、送出側でデータを暗号化し、受信側でこれを復号化するようにすれば、経路となるインターネット上では暗号化されたデータだけが送受信され、安全なネットワークを実現することができる。この暗号化や復号化を双方のゲートウェイで透過的に行えば、専用線で接続されているような構成が可能となる。
一方で、社内LANにおけるセキュリティの確保も問題になりつつある。米国連邦捜査局(FBI)の調査によると、コンピュータ犯罪におけるデータ漏洩は社員が関与している例が多いという。多少事情が異なるが、1999年に起きたNTT社員による顧客情報の漏洩事件のような例を挙げるまでもなく、日本でも情報漏洩事件に社員が関与する例が増えている(NTTの顧客情報の漏洩に関するニュースリリース)。多くの場合は、社員の権限の中で情報を入手しているのだが、クラッキングによって不正にIDとパスワードを入手して、情報を入手する例も増えてきているという。社内の場合、監視ツールを使ってネットワーク上に流れるIPパケットをモニタリングすれば、IDとパスワードが簡単に入手できてしまう。このような犯罪を未然に防ぐには、社内の情報管理を徹底するだけでなく、ネットワーク上に流れるパケットから情報が漏洩しないように、暗号化通信を採用する必要性がある。特に経営情報や技術情報などを取り扱う部署では、会社の命運を左右しかねないため、もはや暗号化通信の採用は必須ともいえる。
こうした暗号化/復号化の標準プロトコルとして、インターネットの標準化団体であるIETF(Internet
Engineering Task Force)はIPSec(IP Security Protocol)を規定している(IPSecについては、「技術解説
:IT管理者のためのIPSec講座」参照のこと)。IPSecは文字通り、IPレベルで暗号化を行う技術である(IPSecについては、「技術解説:IT管理者のためのIPSec講座」参照のこと)。IPSecは、EC(Electronic
Commerce)のセキュリティ対策で使われているSSL(Secure
Socket Layer)や、電子メールで使われ始めているPGP(Pretty
Good Privacy)による暗号化通信などと異なり、アプリケーションの種類に依存することなく、すべての通信が暗号化される。暗号化はPCなどの端末側で行うこともできるし、LAN
の出口のゲートウェイやファイアウォール上で行ってもよい。それぞれの場合で暗号化の対象となる部分が異なるが、前者をトランスポート・モード、後者をトンネル・モードとして区別している。トランスポート・モードでは、IPパケットで運ぶデータ部分のみを暗号化し、これに宛先などを指定したIPへッダを付けて送信をする。一方のトンネル・モードは、ほかのホストから受信したIPへッダとデータ部分を合わせたものをまとめて暗号化したうえで、新たにIPへッダを付け直して送信する。暗号化方式については、IPSecはどの暗号化方式も許容しているものの、現在販売されている製品のほとんどがDES(Data
Encryption Standard)を採用している。
 |
|
トランスポート・モードとトンネル・モード
|
このようにIPSecを利用することで、インターネット上やLAN上でもパケットが暗号化され、セキュリティを保つことができる。Windows 2000は、標準でIPSecをサポートしており、特別なアプリケーションを必要とせずに利用可能だ。ただしWindows
2000の場合、IPSecの暗号化/復号化の処理はソフトウェアによって行われるため、意外とCPUパワーを消費する。そこで、インテルや3Comなどは、IPSecの暗号化/復号化の処理をハードウェアで行うイーサネット・カードを販売している。このカードを利用することで、PCに負荷をかけずにIPSecが利用可能になる。ここでは、インテルのIPSecのハードウェア・アクセラレート機能を持つ「Intel
PRO/100 Sマネージメント・アダプタ(以下PRO/100 S)」を取り上げ、実際にIPSecの有用性やハードウェア処理の有効性について検証してみる。
System Insider フォーラム 新着記事
- Intelと互換プロセッサとの戦いの歴史を振り返る (2017/6/28)
Intelのx86が誕生して約40年たつという。x86プロセッサは、互換プロセッサとの戦いでもあった。その歴史を簡単に振り返ってみよう
- 第204回 人工知能がFPGAに恋する理由 (2017/5/25)
最近、人工知能(AI)のアクセラレータとしてFPGAを活用する動きがある。なぜCPUやGPUに加えて、FPGAが人工知能に活用されるのだろうか。その理由は?
- IoT実用化への号砲は鳴った (2017/4/27)
スタートの号砲が鳴ったようだ。多くのベンダーからIoTを使った実証実験の発表が相次いでいる。あと半年もすれば、実用化へのゴールも見えてくるのだろうか?
- スパコンの新しい潮流は人工知能にあり? (2017/3/29)
スパコン関連の発表が続いている。多くが「人工知能」をターゲットにしているようだ。人工知能向けのスパコンとはどのようなものなのか、最近の発表から見ていこう
System Insider 記事ランキング
本日
月間
