ディープパケットインスペクションとは
ディープパケットインスペクション(DPI)とは、データパケットが監視するネットワークチェックポイントを通過した際に、その内容をすべて検査する手法を指します。 従来のステートフル パケット インスペクションでは、ソース IP アドレス、宛先 IP アドレス、ポート番号などのパケット ヘッダー情報のみを評価しますが、ディープ パケット インスペクションでは、個々のパケットに関連するデータやメタデータの全範囲を検査します。 ディープパケットインスペクションは、パケットヘッダ内の情報だけでなく、パケットのペイロードに含まれるコンテンツも精査します。
ディープ パケット インスペクションによって評価される豊富なデータは、DPI を使用して、ネットワーク データ ストリームに潜むさまざまな複雑な脅威をより正確に識別およびブロックできるため、ネットワーク パケット フィルタリングを実施するためのより堅牢なメカニズムが提供されます。
- マルウェア
- データ流出の試み
- コンテンツ ポリシー違反
- 犯罪コマンドおよびコントロール通信
ディープ パケット インスペクション機能は、ステートフルパケットインスペクションに依存している従来のファイアーウォールの制限を乗り越えるために進化してきました。 ステートフル パケット検査が提供する進歩を理解するために、空港のセキュリティの観点から考えてみましょう。
ステートフル パケット フィルタリングは、出発地および目的地の空港が記録上のフライト番号と一致することを確認するために、荷物タグをチェックして荷物の安全を検証するのと同じことです。 対照的に、ディープ パケット インスペクションを使用したフィルタリングは、X 線でバッグを検査し、適切なフライトにルーティングする前に、内部に危険なものがないことを確認するようなものです。
マルウェアのブロック
脅威検出アルゴリズムと組み合わせた場合、エンドポイントやその他のネットワーク資産に侵入する前に、マルウェアをブロックするためにディープ パケット インスペクションを使用することが可能です。 つまり、ランサムウェア、ウイルス、スパイウェア、およびワームによるアクティビティをフィルタリングすることができるのです。 より広範には、ネットワーク全体の可視性を提供し、ヒューリスティック分析により異常なトラフィック パターンを特定して、既存の侵害を示す悪意のある動作をセキュリティ チームに警告することも可能です。 つまり、組織はその分析を使用して、外部の攻撃者によるデータ流出の試み、または悪意のある内部関係者と過失のある内部関係者の両方による潜在的なデータ流出を阻止するためのフィルターを設定することができます。 同様に、DPI による詳細な分析により、ポリシー違反の使用パターンをブロックしたり、企業が承認したアプリケーション内での未承認のデータ アクセスを防止する道が開かれます
Secure Web Gateway Service
SD-WAN, モバイルおよびクラウド向けのフルマネージド Web およびインターネット セキュリティ。
詳細
DPI の利点と課題
DPI のプローブ分析により提供される可視性の追加は、IT チームがより包括的で詳細なサイバーセキュリティ ポリシーを実施するのに役立ちます。 このため、多くのファイアウォール ベンダーは、長年にわたってこの機能をリストに追加してきました。
しかし、多くの組織が、ファイアウォール アプライアンスで DPI を有効にすると、しばしば受け入れがたいネットワークのボトルネックやパフォーマンスの低下が発生することに気づいています。 まず、これらのオンプレミス アプライアンスは企業ネットワークに接続されており、DPI 検査チェックポイントを通過するパケットのために、企業はリモート ユーザーからのトラフィックをこのインフラストラクチャ経由でバックホールする必要があります。 このため、増大するユーザーに対して膨大な遅延が発生し、多くの企業が完全な分散型ワークフォースをサポートすることを余儀なくされているため、ますます実行不可能になってきています。 さらに、このようなパフォーマンスの問題は、多くのユーザーや部署が検査を完全にスキップすることに拍車をかけているようです。 これらのユーザーが VPN 接続を行わずにクラウドやオンライン リソースに直接接続すると、ネットワーク境界の保護が完全にバイパスされることになります。 一部のファイアウォールは HTTPS トラフィックのディープ パケット インスペクションを実行すると主張していますが、データを解読してトラフィック フローと同時に検査するプロセスは、多くのハードウェアベースのセキュリティ デバイスを圧倒するプロセッサ負荷の高い作業です。 これに対して、管理者はファイアウォール内でこの機能をオフにすることがよくあります。
このため、Web 全体に TLS/SSL が普及すると、ネットワークの可視性に大きな盲点が生じます。 現在の業界の推定では、今日の Web アクティビティの 95% が暗号化されたチャネルを介して発生していると言われています。 攻撃者は、潜在的な犠牲者がこのトラフィックに対する DPI の監視を拡張する際に直面する課題を認識しているため、マルウェアの約 3 分の 2 が HTTPS を隠しているのです。
How secure web gateways offer DPI functionality
ファイアウォールが依然としてネットワークの境界で貴重な主目的を果たすことを認識し、多くの組織がクラウドベースの安全な Web Gateway に注目し、これらのデバイスから深いパケット検査のパフォーマンスの負担を取り除く手助けをするようになっています。 これらの Web フィルタは、理想的には DPI 機能を使用して、ユーザーの場所に関係なく、ユーザーによって生成された HTTP と HTTPS の両方のトラフィックを検査することで、アウトバウンド・ユーザーのトラフィックを保護します。 クラウドベースのセキュア Web ゲートウェイを通じて暗号化されたリモート ユーザーのトラフィックをオフロードすることにより、組織は既存のハードウェアベースのデバイスに負担をかけずに DPI のトラフィックの詳細分析をスケールアップすることが可能になります。 これは、組織が複数の場所や、インターネットやクラウド リソースに直接接続している広範なリモート ユーザーにセキュリティ ポリシーを管理している場合、ポリシー実施へのより一貫した経路を提供します。