ディープパケットインスペクション（DPI）とは？

DPIは、Deep Packet Inspectionの頭文字をとった略称です。パケットインスペクションは、ルータなどの機器がパケットを監視してセキュリティを守る働きをする技術を指します。

DPIは、通常のインスペクションでは調べられない「データそのもの」も感知する技術です。これにより、企業の機密情報を持ち出す動きなどがわかり、セキュリティとしての強度が通常のインスペクションより高くなります。

DPIは企業のセキュリティ対策としてはもちろん、通信事業者による帯域制限や著作権保護にも用いられているシステムです。さらに、顧客のデータをもとにしたパーソナライズ広告などの手法にも利用されています。

ディープパケットインスペクション（DPI）の定義

通常のパケットインスペクションは、IP（Internet Protocol）、UDP（User Datagram Protocol）、TCP（Transmission Control Protocol）などのプロトコルデータをもとに、ヘッダー部分のIPアドレスを調べるSPI（Stateful Packet Inspection）です。しかし、ヘッダー部分ではなくボディにウイルスが埋め込まれるパターンが生まれ、SPIだけではセキュリティが完全ではなくなりました。

そこで登場したのがDPIです。DPIは従来のヘッダーだけではなくボディ部分も調べ、危険の有無について感知します。スキャンする方法は、データをメモリに残しておきそのデータをスキャンする方法と、データを随時スキャンする方法の2パターンです。

ディープパケットインスペクション（DPI）の仕組み

DPIは、ネットワーク上にあるすべてのデータを受信できる技術です。パケットについては、IPアドレスをはじめとする各種プロトコルを含んだ「ヘッダ情報」と、通信内容を含む「ペイロード」に分解されます。

パケットを分解したのち、DPIはまずヘッダ情報の解析から始めます。含まれているパケットの種類、送信元・送信先のデータを確認する作業です。不正なIPアドレスやプロトコルを探知し、探し出していきます。

続いて実際のデータ本体部分であるペイロードの検査を行います。ペイロードに不正やウイルスが仕込まれていないかを確認し、フィルタリングのルール違反がないかを調べます。

最後は、フィルタリングとアクションの実行です。問題のないパケットには許可を出し、問題があったデータはブロックします。ネットワークを悪意から守るために不正な通信やマルウェアをブロックすれば、一連の流れは終了です。

ディープパケットインスペクション（DPI）の必要性が高まる背景

従来、ネットワークセキュリティといえば「ファイアウォール」でしたが、現代はファイアウォール単体で対処しきれない脅威も出現しています。そのため、必ずしもファイアウォールが有効なセキュリティ対策であるとは言い切れません。

DPIは、新たなセキュリティ対策として近年注目を集めている技術です。巧妙化したサイバー攻撃からネットワークを守るため、DPIの必要性は高まってきています。

ネットワークセキュリティの重要性が増している

情報の検索はもちろん、買い物や読書、ゲームなど、現代ではさまざまなシーンでインターネットが用いられています。加えて仕事の情報管理にも、インターネットの存在は必要不可欠です。

誰もがインターネットを利用でき、ネットワークの重要性が高まる一方で、セキュリティ上の脅威も深刻化しています。住所、氏名からクレジットカードの番号など、いたるところのデータがインターネットに蓄積され、情報漏洩を狙ったサイバー攻撃も問題視されています。

インターネットが欠かせない現代において、ネットワークセキュリティの重要性は以前にも増して高まっているのです。

従来のファイアウォールが限界を迎えつつある

ファイアウォールはもともと、ネットワークの境界で外部の不正アクセスから内部を守る役割を担っていました。役割そのものはDPIと通じるところもあり、「セキュリティ対策はファイアウォールひとつで良いのでは」と思うかもしれません。しかし、近年ファイアウォール単体では防げない攻撃が増えてきており、ファイアウォールは完璧ではなくなってきています。

ファイアウォールはIPアドレスやポート番号をもとに、通信を許可するかどうかを判断するシステムです。しかし近年は、「正規の送信元を装う」「暗号化された通信を利用する」といった抜け道を利用して、ファイアウォールをすり抜けて侵入する攻撃が増えてきています。

DPIは、ファイアウォールで防げない攻撃に対しても有効です。そのため現代では、DPIの必要性が高まっています。

ディープパケットインスペクション（DPI）の主なユースケース

DPIは攻撃に強くセキュリティの用途で使われていますが、それ以外にも利用価値が高いシステムです。DPIの主な用途について紹介します。

セキュリティ対策

DPIは、セキュリティ対策において強い効果を発揮するシステムです。マルウェア・スパム・フィッシングを防ぐほか、DoS攻撃からもデータを守ります。

また、DPIは外部からの不正アクセスを検知し防ぐ役割も果たすため、侵入検知システムや侵入防止システムにも組み込まれます。

トラフィック管理によるネットワーク運用の最適化

セキュリティ対策だけではなく、通信の最適化とトラフィックの管理に用いられるという点も、DPIの特徴です。トラフィックの管理により、企業が仕事に関連する通信を優先し、仕事に関係のない通信を制限できます。

違法コンテンツへのアクセスブロックとフィルタリング

DPIはデータの中身に関して検知できるため、違法コンテンツへのアクセスを遮断できます。

違法コンテンツの遮断と同様に、アクセスできるサイトを制限するフィルタリングにもDPIは有効です。違法サイトに加え、業務に関係のないSNSや動画サイトなどへのアクセスも制御します。これは企業だけではなく、学校でも有用なシステムです。

ディープパケットインスペクション（DPI）がもたらす3つのメリット

DPIには安全性の高いネットワーク環境を構築できるなど、様々なメリットがあります。

安全性の高いネットワークを構築できる

DPIはパケットの送信元・送信先だけではなく、その中身まで調べられるシステムです。これによりマルウェアや不正な通信を検知・発見できます。データの漏えいを防ぐため、企業にとっては重要な役割を担ってくれます。

トラフィック管理でネットワークのパフォーマンスが向上する

トラフィック種類を判別して優先順位をつける、帯域制御を行うといった管理ができるため、重要なトラフィックを優先できます。その結果ネットワークがスムーズに動くようになり、業務効率化が図れます。

フィルタリングによって生産性の向上が期待できる

業務や学習に無関係なコンテンツの閲覧は、効率性の低下が懸念される要素です。DPIで不適切なコンテンツをフィルタリングし、アクセスできないようにすれば、生産性の向上が期待できます。また意図しない危険なアクセスを防ぐことにもつながります。

ディープパケットインスペクション（DPI）が抱える3つの課題

DPIは効果的なセキュリティ対策システムである一方、プライバシーやネットワークの遅延など、抱える課題も存在します。

プライバシーに関する課題

DPIはパケットの中身まで解析できるため、セキュリティ強化に有効ですが、通信内容を覗き見る構造上プライバシー侵害のリスクも伴います。情報漏えいの防止には役立つ一方で、個人情報の監視リスクを踏まえた慎重な運用が求められます。

誤検知のリスクを伴う

DPIも、常に正確な判別ができるとは限りません。問題のないトラフィックを脅威として誤検知し、社内ネットワークの運用にも支障をきたすリスクがあります。こういった側面は、業務効率を考えるうえでの注意点だといえるでしょう。

ネットワーク遅延を引き起こす可能性もある

DPIは全パケットを解析するため、大量のトラフィック時にはネットワーク遅延を招く可能性があります。特に大規模な社内ネットワークでは、通信速度の低下やDPI処理の限界が顕在化しやすくなります。

総合セキュリティ対策なら
パロアルトネットワークス

DPIの導入相談も含め、ネットワークに関連する総合セキュリティ対策として、パロアルトネットワークスをおすすめします。

パロアルトネットワークスは「お客様から選ばれるサイバーセキュリティパートナーとして、人々のデジタルライフを守る」をモットーに運営している組織です。ウイルスやマルウェアといったあらゆる脅威からデータを守ります。総合セキュリティ対策でお悩みの方は、ぜひ一度お試しください。

• パロアルトネットワークスが手がけるサイバーセキュリティ

まとめ

サイバー攻撃が巧妙に行われる現代では、データを守る側も高度なセキュリティ対策が必要です。DPIはセキュリティ以外にも不適切なコンテンツをフィルタリングしたり、トラフィックを効率化したりと、あらゆる場面で役に立ちます。企業や会社のデータを守るために、導入を検討してみてください。