多拠点を安全に接続する手段として、長年にわたり活用されてきたIPsec VPN。その信頼性は高く、
多くの環境で現在も重要な役割を担っています。しかし、従来型の構成では通信品質の低下や
運用負荷といった新たな課題が顕在化しつつあります。
さらに深刻なのが、相次ぐVPN機器の脆弱性を狙ったサイバー攻撃のリスクです。
頻発するパッチ当て(修正プログラムの適用)の運用負荷や、未知の脅威(ゼロデイ攻撃)への不安は尽きません。
本ソリューションでは、従来のVPN(トンネル方式)とは全く異なるアーキテクチャを採用し、
OSの脆弱性を突いた不正侵入やランサムウェアの足がかりにされるリスクを構造上「ゼロ」にする、
Thales社の次世代セキュアネットワーク基盤「HSE」をご紹介します。IPsec VPNとの実機比較検証を
交えながら、これからの時代に最適な暗号化通信のソリューションをご紹介します。
HSE(High Speed Encryptor)は、レイヤー2、3 および4 ネットワークの速度を低下させることなく移動中のデータを保護します。
最小の遅延で最大のスループットを保証するThales High Speed Encryptorsを使用すると、データ、ビデオ、音声、メタデータを盗聴、監視、および明らかな傍受や秘密の傍受から保護できます。
によって、セキュアでありながら、高速なネットワーク環境を構築できるネットワーク暗号化装置です。
パブリッククラウド(AWS)環境で検証環境を準備しました。構成は以下の通りです。
AWS上の英国(ロンドン)と米国(オレゴン)リージョンにクライアントサーバーを用意し、リージョン間の通信データを暗号化する環境を構築しました。
ネットワークの通信性能を測定するオープンソースのiPerfツールを使用して、サーバー間のエンドツーエンドでの転送レートを測定した結果は以下の通りです。
※検証時、AWS上VPCのルートテーブルは切り替えています。
|
|
HSE暗号化モード |
平均bitレート (Mbit/s) |
|
|
仮想版HSE(CV1000) |
Bypass |
なし |
80.2~159 Mbit/s |
|
Encrypt |
あり |
58.4~108 Mbit/s |
|
|
- |
あり |
60.5~102 Mbit/s |
今回の検証は、約8000km離れた海外リージョン間かつ仮想版での通信のため、パブリッククラウド特有のネットワーク揺らぎや遅延の影響を強く受ける環境下で行われました。しかし、そのような厳しい条件下でも、仮想版HSEは従来のIPsecVPNと同等以上の優れたパフォーマンスを維持できることが確認できました。なお、専用のハードウェア(FPGAチップベース)で暗号処理を行う物理版HSEであれば、デバイス自体の遅延は極小化されるため、さらに超高速通信暗号化の実現が見込めます。
物理版HSE(CN4020モデル)を使って、以下の様なシンプルな構成で通信を暗号化した時(L2:Lineモード)と暗号化していない時(Bypassモード)の応答時間(レイテンシ)を測定しました。
<スループット測定>
iPerfツールを使用して、PC間のエンドツーエンドでの転送レートを測定した結果は以下の通りでした。
(iPerf : https://iperf.fr/)
|
モード |
平均bitレート (Mbit/s) |
|
Encrypt(暗号化あり) |
711 |
|
Bypass(暗号化なし) |
791 |
この結果からHSEで暗号化した場合でも、ビットレート(1秒間に処理または転送されるデータ量)の低下は1割程度に抑えられることが確認できています。
<レイテンシ測定>
右側のPCから左側のPCに対して、pingコマンドを1万回実行した時の往復時間(RTT: Round Trip Time)の計測結果は以下の通りでした。
|
モード |
最小値(ms) |
最大値(ms) |
平均値(ms) |
|
Encrypt(暗号化あり) |
0.627 |
29.295 |
1.233 |
|
Bypass(暗号化なし) |
0.572 |
27.883 |
1.216 |
暗号化を有効にした場合、往復時間(RTT: Round Trip Time)はわずかに増加しましたが、EncryptモードとBypassモードの平均値の差は17μs(0.017ms)にとどまることを確認しました。
なお、製品仕様では、HSE (CN4020) 1台あたりの遅延は10μs以下です。
今回の実機検証で特に印象的だったのは、HSEが低レイテンシーかつ高速暗号化を実現するだけでなく、導入・運用のシンプルさにも優れていた点です。従来のIPsecVPNでは、フェーズ1/2の暗号ポリシー調整、複雑なルーティング設計、NATトラバーサルへの対応など、構築前の段階から多くの検討が必要になります。一方、HSEは専用管理ツールであるCM7のGUIに従って設定を進めることで、短時間でセキュアな拠点間接続を構築できました。
特に、ネットワーク機器のコマンド設定や複雑なコンフィグ作成に慣れたエンジニアほど、そのシンプルさを実感しやすいと考えられます。物理的なトポロジーや煩雑な設定項目を過度に意識することなく、直感的な操作で安全な通信基盤を構築できる点は、HSEの大きな特長です。
さらに、一般的なVPN構築で課題となりやすい多数の設定パラメータや、継続的な脆弱性対応に伴う運用負荷の軽減も期待できます。高いセキュリティ強度を確保しながら、ネットワーク担当者の日常運用をシンプルにできる点は、HSEが持つ大きな導入価値の一つと考えています。
キーワードは「高速暗号化通信」「低レイテンシ」「VPN装置のボトルネック解消」です。
Thales社HSEはネットワーク性能、遅延、帯域幅を維持しながら、機密性の高いデータを安全に転送できます。機密データ、音声や動画ストリーム、メタデータなどデータ転送中の盗聴、監視、傍受などの攻撃から保護します。また、HSEは耐タンパー性を備えたシャーシで提供されており、暗号化で使われる暗号鍵はハードウェア内で安全に生成、保管されます。さらに、物理的に鍵を抜き取ろうとするとデバイスはゼロ化される仕様が備わっており、安全性は確実に担保されます。
信頼のおける真のエンドツーエンドの暗号化はHSEで実現できます!
本製品にご興味のあるお客様は、ぜひ当社までお問い合わせください。