HSKI's

SoftEtherというソフトが一部で物議を醸しているようだ。
私が見たネタ元は、スラシュドットの記事。
SoftEtherのページはここ。

　　このSoftEtherというソフトは、ＨＴＴＰＳ上でＴＣＰ／ＩＰをエミュレートするらしい。そうすると、ＨＴＴＰＳを許しているＦＩＲＥＷＡＬＬを越えてＴＣＰ／ＩＰをやりとりできる。ＶＰＮ構築にあたって便利である反面、悪用や管理者の不注意によってセキュリティホールにもなり得るということらしい。技術的な詳細はよくわからないが、そう読み取れる。

　　ことの経緯はここに載っている。このソフトウエアは、IPAに採択されたプロジェクトの成果物であり、開発者は、依頼元である情報処理振興事業協会 (IPA)との契約に基づいて、ソフトウエアを無償公開したが、セキュリティ不安を経済産業省とＩＰＡに訴える問い合わせが相次いだため、経済産業省の要請によって、公開を一時見合わせているという。

　　ソフトの使い方をかいつまんだ説明が、SoftEther を使うと何ができるのでしょうかのところにあるので、以下に抜粋する。

・SoftEther を使用して仮想ネットワークを構築し通信する際に、ネットワークのシステム管理者による特別な許可・設定が不要です。SoftEther の通信は、ほとんどの NAT、ファイアウォール、プロキシ サーバーを通過することが可能です。
・そのため、従来であれば拠点間 VPN を構築する際にファイアウォールの設定を緩和するなど危険な作業が必要でしたが、SoftEther を使用することにより、既存のファイアウォールに危険な設定を行うこと無く、簡単に拠点間 VPN (仮想 LAN) を構築することが可能です。
・SoftEther 仮想 LAN カードは、デバイスドライバとして実装されており、コンピュータにインストールされます。そのため、OS (Windows) やネットワーク アプリケーションからは、一般的な物理的 LAN カードと全く同様に認識されるため、透過的に (全く意識することなく) すべての通信を行うことができます。
・SoftEther 仮想 HUB は、一般的な 100Base-TX スイッチング HUB を忠実にエミュレートしており、仮想ネットワークに接続したコンピュータは物理的な LAN に接続しているのと同様に認識できます。
・SoftEther 仮想 HUB には、パケットを Layer-3 レベル以上で認識可能な高度なセキュリティ 機能が搭載されており、各ユーザーごとに設定したパケット フィルタリング ポリシーを設定することができます。これにより、危険なパケットが SoftEther 仮想ネットワーク内を流れるのを防止することができます。
・また、仮想 HUB を通過したすべてのパケットについて、完全なログをとることができます。

　　「パケットを Layer-3 レベル以上で認識可能」で「各ユーザーごとに設定したパケット フィルタリング ポリシーを設定することができます」とあるから、きちんと管理すれば安全と言えるのではないか。経済産業省やＩＰＡの危惧は、「きちんと管理すれば」のところが、往々にしてうまくできないという現実から来ているのだろう。
　　具体的には、住基ネットが念頭にあるかもしれない。しかし、住基ネットの安全性は既に確認済みのはずだ。それは、開発者もここで主張している。

住民基本台帳ネットワークについては、片山総務大臣がすでに「絶対安全」であると宣言しており、住基ネットの安全性は 1 つの VPN ソフトウェアによって脅かさせるはずは「絶対」無いはずです。(公式発表では、物理的に接続されていないということですし。)

。。。皮肉たっぷりごはん大盛りｗ。住基ネットの安全性談義はしかし別の機会に譲るとして、ここでは、この問題の本質を考えてみる。

　　トンネリングソフトというものが、どんな通信プロトコルに対しても作り得るのであれば、情報の安全性を保つためには、通信プロトコルの安全性に頼ることは、もはやできないのではないか。そう考えると、情報そのものを常に暗号化して扱う必要が出てくる。そういえば、マイクロソフトの次期オフィス製品は、ＥＸＣＥＬなどのアプリケーション自身が、データを暗号化して扱うのではなかったか。
　　この考えを推し進めていけば、すべてのデータが、入力デバイスにはいった瞬間から暗号化され、出力デバイスから出る瞬間に復号化され、通信経路の安全性は問わないシステムがイメージできる。さらに暗号復号の仕組みに、著作権管理の仕組みを組み込んでおけば、著作権保護の見地から通信の秘密保持へ干渉するという、好ましくない現状の改善にもつながることが期待できる。

　　このイメージは、悪くないと思うのだが、さらに機会を見て深堀りしたい。