現在地 HOME > 掲示板
> IT4 > 963.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT4 > 963.html
★阿修羅♪
|
|
| Tweet |
2004/01/08 19:02:00 更新
Interview:
「SoftEtherを危険視するのはおかしいです」――19歳の開発者に聞く (1/2)【IT_Media記事】
http://www.itmedia.co.jp/lifestyle/articles/0401/08/news095.html
19歳の学生が開発したフリーソフトが、いまネット上で大きな話題になっている。ソフトの名は、「SoftEther」。画期的なVPNソフトでありながら、一時公開中止になるなど波紋を呼んでいるこのソフトについて、開発者に聞いた。
19歳の学生が開発したフリーソフトが、いまネット上で大きな話題になっている。ソフトの名は、「SoftEther」。通信データをTCPパケットにカプセル化し、2点間をVPN接続できるものだ。
IPA (情報処理振興事業協会) の「未踏ソフトウェア創造事業(未踏ユース)」の採択案件として開発された同ソフトは、2003年12月17日からsoftether.com上で公開された。しかし、企業などのネットワーク管理者にとって不利に作用する恐れもあることから、一部では「悪用可能なソフト」として話題に。開発を支援したはずのIPAが、配布停止を要請するという事態になり、公開中止となった(現在は配布を再開している)。
同ソフトを公開した筑波大学1年生、登大遊氏は、どのような考えで開発に取り組み、まだどのような思いで騒動を眺めているのか。本人に直接、話を聞いた。
筑波大学の登氏(同大学構内にて)。今週末にも、SoftEtherを学会で発表する予定という
登大遊(のぼりだいゆう)氏の横顔
小学2年生の頃から、NECの「PC-8001」でプログラミングを始める。私立高槻高校1年のとき、「月刊I/O」に投稿していたのが縁で、DirectX8.0の書籍を執筆。「当時は英語版の資料しかなかったので、日本語の書籍を出せば売れる、と言われて書きました」(同氏)。ちなみに、2万部ほど売れたという。
その後、高校卒業までにさらに2冊の本を執筆。また、高校3年の時に“FOMA向け”のメモリ編集ソフトを開発する。「現在、ソースネクストの『携快電話』の8と9に、僕の開発した通信モジュールが入っています」。
2003年、筑波大学第三学群、情報学類に入学した。
レイヤ2で2点間を接続するVPNプロトコル
ITmedia まずは、開発者本人から簡単にSoftEtherを説明してください。どのようなメリットがあるソフトですか。
登 従来、VPNプロトコルとしては、PPTP(Point-to-Point Tunneling Protocol)などがありましたが、これは2点間をレイヤ3(ネットワーク層)で接続するものです。ファイヤウォールやNATを超えて自由に通信することができず、不便な場合もありました。
そうではなく、2つの異なるLANをネットワーク経由で接続する場合に、「レイヤ2(データリンク層)でカスケード接続してしまいたい」という考えから、SoftEtherの開発に取り組みました。SoftEtherでは、イーサネットのLANカード、およびスイッチングHUBをソフトウェア的にエミュレートして仮想化し、暗号化通信を実現させます。これにより、各ノードは物理的にカスケード接続されたのと同じで、単一セグメントのLANとして認識されます。
似たVPNプロトコルとして、UNIXではVTunなどもありますが、設定の分かりやすさ、導入の容易さなどの点でSoftEtherが優れていると思います。なお、ほかのVPNプロトコルとの比較は、SoftEtherのサイト上にまとめてあります。
ITmedia そのSoftEtherですが、一部ユーザーは“ネットワーク管理者の目を盗んで好きなことができるソフト”というとらえ方をしました。
SoftEtherを利用し、ファイヤウォールの内側からHTTPSを偽装してインターネットに抜けるようなVPNを張れば、ネットワーク管理者によるパケット監視は行き届かなくなります。たとえば、“社員が仕事中、こっそりオンラインゲームをやり放題”ということにもつながります。この指摘には、どういった感想をお持ちですか。
登 そもそも、SoftEtherはドライバがカーネルモードで動作するため、インストールするにはAdministratorsでログオンしている必要があります。ですから、本当に管理者がSoftEtherを禁止したいなら、社内にあるPCのAdmin権限を、しっかり持っておけばいいだけの話なんです。
ファイヤウォールの設定を変更することなく、VPNを張れるというのは、利点も多いです。例えば、自宅のPCにファイルを忘れたとしても、簡単に取りに行くことができます。危険性があるというなら、そこで対策を考えればいいのだと思います。
ITmedia SoftEtherは12月17日の公開後、一週間ほどで公開中止となるという経緯をたどりました。このいきさつを、教えてもらえますか。
登 自治体や民間企業などから、IPAに対して抗議があったようです。IPAは、情報セキュリティ対策事業もやっていますから、「セキュリティ対策に取り組んでおきながら、一方でネットワークを危険にさらすようなソフトの開発を支援するのか」という批判を受けたようです。
IPA側から、配布を中断してくれという連絡があったので、12月24日に一時中断しました。その後、2日間かけて話し合いをしたのですが、経済産業省にはネットワークに詳しい方もいて、「これはただの、使いやすい便利なVPNソフトだ」ということを言ってくれたらしいんです。そうしたこともあって、27日の正午の段階で配布を再開しました。
こちらとしては、契約上IPAから委託されている業務として、「実施計画書」に記載された要件を満たすソフトを開発して、公開したにすぎないんです。それを公開しないとなると、契約不履行になりますから(笑)。
ただ、使い方を誤ると既存のネットワーク上にセキュリティホールを生じさせてしまう危険性がある、ということはきちんと記述し、ユーザーがダウンロードする際によく確認してもらうようにしました。
次ページ:SoftEther、商用化への道のり
| 1 2 | 次のページ
[杉浦正武,ITmedia]
Copyright(c) 2004 Softbank ITmedia, Inc. All Rights Reserved.
2004/01/08 19:02:00 更新
Interview:
「SoftEtherを危険視するのはおかしいです」――19歳の開発者に聞く (2/2)
http://www.itmedia.co.jp/lifestyle/articles/0401/08/news095_2.html
前のページ | 1 2 |
ITmedia 開発にあたり、苦労した点などはありますか。
登 SoftEtherでは、TCP over TCPによるパケット伝送を行います。しかし、最初にSoftEtherを作ってみたところ、非常に通信速度が遅いんです。どのくらい遅いかというと、100MbpsのLocalLANで500Kbps程度しか出ませんでした。
TCPはパケットロスがないよう保証するプロトコルなので、パケットを送る際に「前のパケットが送信できたか確認応答をとる」時間が必要になります。そのため、1パケットずつ正直に送ると、確認の時間をとられて通信速度が遅くなってしまいます。
これを解決するには、ある程度のパケットをまとめて1つのデータとして送ればいいと考えました。しかし、これだと確かにビットレートは稼げるのですが、その上のレイヤでカプセル化をしようとしているTCPパケットは、一定時間待ってから送信することになります。このため、あまり多くのパケットをまとめると待ち時間が長くなって、「このネットワークは速度が遅い」と判断してしまい、TCPのフロー制御が行われて、やはり速度が落ちてしまうのです。
このため、「パケットをある程度まとめて送信するが、まとめすぎない」というバランスをとるのが、一番重要なところでした。いろいろプログラムを書き換えて、現在は状況が改善しています。
登氏が公開した資料。ケーブル接続とSoftEther接続で、ほぼスループットに差がないことが分かる
ITmedia 今後は、SoftEtherを使ってどんなことを考えているのですか。
登 現在、SoftEtherの使用方法や特徴を多くの人に体験してもらうため、期間限定で「実験用匿名仮想HUB」を提供しています。これは、SoftEtherの仮想LANカードをインストールしていれば、誰でも接続できるものです。
ここに接続したユーザーは、自動的にDHCPでIPアドレスを割り当てられ、仮想ネットワークを経由してインターネットにアクセスすることができるようになります。これまで、述べ人数で7427ユーザーが接続しています(*1月6日時点)。
こちらとしては、どのくらいのユーザーが仮想HUBに接続した場合、どのくらいの負荷がかかるのかをチェックし、バグとりをしています。1月1日に立ち上げてから、今まで再起動なしに運用できています。
なお、仮想HUBを踏み台にしてインターネット上のサーバを攻撃したり、誹謗中傷の情報を発信するのは禁止です。そうしたことを防止するよう、パケットのログをとっているほか、仮想HUBに接続する各ユーザーを管理できる機能も実装しています。
登氏の利用するPCを見せてもらった。これがSoftEtherのプログラムだ(クリックで拡大)
ITmedia SoftEtherを利用した、商用サービスは考えているのですか。
登 SoftEtherはフリーソフトですが、「それを利用し、経費以上の対価をとってサービスを提供すること」は禁止しています。これは、将来的に商用サービスを開始する際、競合事業者が発生しては困るからです。
現状、企業から商用化の話はきていますし、IPAとしても、未踏ソフトウェアの商用展開は推奨しています。これから特定の企業にライセンス提供して、その企業が窓口になってサービスを提供することになると思います。
SoftEtherは導入が容易で、Windowsでは唯一、プロキシを通せるVPNソフトです。支店間接続や、リモートメンテナンスに利用できます。ほかに、ユーザーの家庭と高齢者の家庭をVPN接続すれば、NATなどを気にすることなくテレビ電話が可能です。さきほどの仮想HUBを、特定目的で運営することもあるかもしれません。
ITmedia 具体的なスケジュールはありますか。
登 これは、あまり話せません。もっとも、ライセンス提供した企業の方から、発表があるかもしれないですね。
(文中敬称略)
関連記事
2ちゃんねるへの書き込みやWinMXの利用が制限できる「One Point Wall」
関連リンク
SoftEtherのサイト
登氏のホームページ
前のページ | 1 2 |
[杉浦正武,ITmedia]
Copyright(c) 2004 Softbank ITmedia, Inc. All Rights Reserved.
2004/01/08 17:25:00 更新
ネットエージェント、SoftEtherやWinMXの利用を制限できる「One Point Wall」を発売
http://www.itmedia.co.jp/enterprise/0401/08/epn15.html
ネットエージェントは1月27日より、既存のファイアウォールではブロックが困難なアプリケーションの利用を制限する「One Point Wall」の販売を開始する。
ネットエージェントは1月27日より、既存のファイアウォールでは止めるのが困難なアプリケーションによる通信をブロックする「One Point Wall」の販売を開始する。
One Point Wallは、ブリッジとして動作しながら、企業システムにとって管理上望ましくないとされるコンテンツを判断し、ブロックするソフトウェア製品。HTTPなど、ポートフィルタリングでは通さざるを得ないポートを経由してやり取りされるトラフィックについて、内容を見てブロックすることが可能という。また、IPアドレスを設定しないステルスモードでの動作が可能なほか、USBメモリなどにログを書き込むこともできる。
One Point Wallはブロックしたいアプリケーションごとに製品が用意されている。具体的には、
One Point Wall 2ちゃんねる書き込み
2ちゃんねる型掲示板への書き込みのみをブロック
One Point Wall SoftEther
SoftEtherの通信をブロック
One Point Wall WinMX
ファイル交換ソフト「WinMX」の利用を制限
One Point Wall FFXI
オンラインゲーム「FINAL FANTASY XI」へのログインをブロック
という4種類の製品があり、価格はいずれも100デバイスにつき9万8000円。また、複数の機能を利用したい場合には「One Point Wall カスタム」が用意されている。ユーザーの希望に応じて機能をまとめて提供するもので、価格は24万8000円から。動作にはCD―ROMブートが可能で2つ以上のネットワークインタフェースを備えたPCが必要になる。
関連リンク
ネットエージェント
[ITmedia]
Copyright(c) 2004 Softbank ITmedia, Inc. All Rights Reserved.
2004/01/13 22:25:00 更新
ITmedia LifeStyle Weekly Top10
SoftEtherを遮断できるのは、開発者本人?
http://www.itmedia.co.jp/lifestyle/articles/0401/13/news084.html
先週のトップは、「SoftEther」の開発者インタビュー。同ソフトは極めて自由度が高い反面、危険な要素もある。ある人物が「SoftEtherの通信を遮断する技術」の開発を志向しているようだが……?
LifeStyle Weekly Top10 1月4日〜1月10日
1位 「SoftEtherを危険視するのはおかしいです」――19歳の開発者に聞く
2位 HD録画したい人の選択肢
3位 まだ迷っている人のための“ハイブリッドレコーダー選び”
4位 お騒がせ記事を読みながら、今年をふりかえる
5位 “お風呂TV”のススメ
6位 2ちゃんねるへの書き込みやWinMXの利用が制限できる「One Point Wall」
7位 機能のまとめと買い方のポイント
8位 Winnyに参加しただけで摘発も? 〜ACCS
9位 PCを見るほどに視力回復? 謎のソフトの実態は……
10位 ネットアーク、P2Pの現状を報告 最も交換されるファイルは〜
先週のトップは、「SoftEther」の開発者インタビュー記事。自由度の高い、新しいVPNソフトに、読者の関心も高いようだ。
記事にも書いたとおり、同ソフトを使えば支店間接続や、リモートメンテナンスなどが容易に実現できる。1月14日からは、通信プロトコルにSSLを全面的に採用した「バージョン 0.50 ベータ3」が配布される予定。これにより、通信の安全性も向上する。
もちろん、SoftEtherは使い方次第でネットワーク管理者に不利に働くソフトであり、危険視する声も根強い。ただし、開発者である登氏自身は、SoftEther.comのサイトで、以下のような主旨の発言をしている。
「私自身、SoftEtherの通信を遮断するソフトウェアを開発していきたい。SoftEtherがHTTPS対応になった場合、技術的にどうすればSoftEtherの通信を検出してブロックできるのか、興味がある――」。
SoftEtherの危険性は、SoftEther開発者本人によって摘み取られるのかもしれない。
[杉浦正武,ITmedia]
Copyright(c) 2004 Softbank ITmedia, Inc. All Rights Reserved.
2004/01/14 22:09:00 更新
2ちゃんねる、SoftEtherもブロック――「One Point Wall」で何ができるのか?
http://www.itmedia.co.jp/lifestyle/articles/0401/14/news084.html
ファイアウォールの内側に置いて、特定のアプリケーションで利用される通信パケットを“狙い撃ち”で止める。2ちゃんねるへの書き込みも、SoftEtherも制御可能。One Point Wallは、そんな製品だ。
会社から、従業員が2ちゃんねるに書き込むのを禁止したい。ただし、いちいちファイアウォールのポリシーを変更するといった手間はかけたくない――。そうしたネットワーク管理者の要望に応えるのが、ネットエージェントが1月27日から販売する「One Point Wall」だろう。
同製品は、「2ちゃんねる書き込み禁止」「WinMXの利用禁止」などの、特定用途に特化した単機能のファイアウォール。ネットワーク管理者は、既存のファイアウォールにこの製品を組み合わせることで、特定の行動を手軽に禁止できる。
“一点防御型”と呼ばれる同製品が、どのような製品で、企業ネットワークにどのような効果をもたらすのか。ネットエージェントの杉浦隆幸社長に、話を聞いた。
閲覧はできるが、書き込めない
One Point Wallは、ファイアウォールの内側に設置することを想定した、ブリッジ型ファイアーウォール。PCからCD-ROMブートすると利用できるようになる製品で、起動ディスクのみで動作するため、インストールの必要がない(記事参照)。
製品ラインアップの一つ、「One Point Wall 2ちゃんねる書き込み」を導入すれば、前述のように“2ちゃんねるへの書き込み”に相当する通信パケットが、ファイアウォールを通過しないようになる。これにより、仮に従業員が書き込みの操作を行っても、パケットがドロップするため反応が返ってこない。
「書き込んだ側は、自分の行動が禁止されているとは気付かず、『掲示板側のサーバが重いのか』ぐらいに思って、やめてしまう」(杉浦氏)。このように、“すぐには制限されていることが分からない”ことも、製品の特徴だという。
管理者側では、通信のログをハードディスクなどに保存することが可能で、誰が書き込もうとしたのかも把握できる。
2ちゃんねるにアクセスして“掲示板を閲覧する”だけの行為は、制限しない仕様。「情報収集の観点から、閲覧できないと困る、ということはままある。しかし、書き込めないで困る、ということはないだろう」(同氏)というのが、その理由だ。
同氏はまた、単に2ちゃんねるへのアクセスを制限した場合は、閲覧もできなくなるとして、閲覧だけは認められるOne Point Wallの方が自由度が高いとした。
SoftEtherの新バージョンにも対応
One Point Wallは、ほかにWinMX、SoftEther、ファイナルファンタジー XI(FF XI)などのパケットをブロックする製品も用意されている。
たとえば「One Point Wall FFXI」を導入した場合、PlayOnlineのサイトにアクセスして、自分の分身となるゲームキャラクターの選択画面までたどりつけるが、そこからログインすることができなくなる。具体的には、「FFXI-3113 プロトコルタイムアウトエラー」が発生することになる。この場合も、管理者側にログは残るから、「どの社員は、FF XIを○○というキャラクターでプレイしている」といった情報が筒抜けになってしまう。
また、「One Point Wall SoftEther」 では、SoftEtherのパケットを検知することが可能。同ソフトは、通信プロトコルにSSLを全面的に採用した「バージョン 0.50 ベータ3」も登場したが、これにも対応できるという。
「SoftEtherは、問い合わせも多い。現在、200Gバイトほどのパケットをテストして、誤検知がないことも確認している」(同氏)。
各製品で、それぞれどうやって通信を遮断するかは、「それを話すと、すぐに回避する技術を考えられてしまう」(同氏)ため、詳細は話せないとのことだった。
なお、WinMXは禁止できるが、Winnyには現状で対応できていない。これは、Winny特有の暗号化が解けていないためだ。
「初期ノードの暗号化は解けているが……。Winnyがこの先も公開され、継続していくようであれば、残る暗号化を解きたい」(同氏)。
手軽に「狙い撃ち」が可能
杉浦氏は、One Point Wallなら特定のアプリケーションを、狙い撃ちのかたちで止めることができると話す。
「ポートをふさぐなどして、むやみやたらと止めるのではない」(同氏)ため、ほかのアプリケーションが動かなくなるような副作用もない。同氏は、製品の機能を、“CDを入れただけで、とりあえず止めたいものが止まる”と表現した。
関連記事
2ちゃんねるへの書き込みやWinMXの利用が制限できる「One Point Wall」
「SoftEtherを危険視するのはおかしいです」――19歳の開発者に聞く
SoftEtherを遮断できるのは、開発者本人?
関連リンク
ネットエージェント
[杉浦正武,ITmedia]
Copyright(c) 2004 Softbank ITmedia, Inc. All Rights Reserved.
題名には必ず「阿修羅さんへ」と記述してください。