動的ファイアウォール、NAT 制御技術と既存サービスの比較

本節では、前節で紹介した既存技術と本章で提案した技術を比較し、それぞれの優位性 や適用領域について述べる（表 4-9）。

L2TPやPPTPなどを用いたリモートアクセスと本提案方式を比較すると、下記で述べ るように適用領域によってそれぞれ優位性が異なる。IPsecやL2TPでのリモートアクセ ス方式では、外出先で利用しているPC がLAN 内に接続されているかのうに利用できる ため、利便性は高く、またセキュリティ強度も高い。そのため、自分のノートPCを持ち 歩く人がオフィスや家庭にアクセスする際には、L2TP/IPsec の利用は本提案方式よりも 優れている。

一方、本提案方式では、ユビキタスネットワークでの利用を想定しており、外出先で利 用する端末でPPTPやL2TPの利用ができない状況、すなわち、管理者権限がない、情報 家電などでPPTPやL2TPの実装がないデバイスを用いる、操作者に設定する知識が不足 している、などのケースにおいても、家庭内への安全なアクセスを可能にする。本提案方 式の具体的な利用シーンとして、親族の家（祖母宅）を訪れた際にPCが無く、Webブラ ウザ内蔵のテレビやフレッツフォンなどのノンPCデバイスのみがある状況において、自 宅にある PC 内に保存した写真や動画の閲覧や、WEB カメラの画像を見たりするような 利用シーンがある。この利用シーンでは L2TP を用いることはできないため、特にノン PCデバイスしかない環境においては、本提案方式は優位である。

UPnPと本提案方式を比較すると、本提案方式ではデバイスリストの生成にUPnPを用 いており、排他的な技術ではない。一方、UPnPのみでは常にファイアウォールが開放さ れた状態となることから、機器自身にセキュリティホールがあった際に、不正侵入される 恐れがある。また、外部の不正なWEBサイトなどが、LAN内部のPC経由で不正にUPnP を用いてファイアウォール、NATを操作されるなどのセキュリティのリスクも高く、現在 では UPnP による自動制御は無効とすることが推奨されている。本提案方式では UPnP による IP アドレスとポート番号の自動取得により利便性を向上しているが、UPnPを本 装置が利用した際にも、ファイウォールと NAT が常時開放とならないため、セキュリテ ィの大幅な向上を実現している。

UDP/TCP ポートパンチングと本提案方式との比較では、UDP/TCPポートパンチング がP2Pアプリケーション同士の自動的な接続を目標としていることから、本提案方式とは 適用領域が異なる。また、UDP/TCP ポートパンチングでは、NAT 装置の実装によって、

利用の可否が異なり、特にTCPにおいて利用できるケースは限定的である。

m2m-Xを実装した機器とIPv6環境が普及した際には、本提案方式を利用せずに、P2P 通信が可能になる。しかし、外出先で借りた端末やノンPCデバイスを用いて、家庭内に アクセスする利用シーンでは、SIP-URI を登録し、機器同士が認証を行うモデルである m2m-Xは適していない。m2m-Xは機器にプロトコルスタックを実装していないと利用で きないことから、任意の端末を用いて、LAN 内の任意の端末にアクセスしようとする本 提案方式とは適用領域が異なる。また、m2m-X を実装した製品は市販されることなく活

動を終了したように、通信の両端の端末が対応しなければいけないモデルでは、初期の普 及は困難である。本提案方式では、自宅のルータを置き換えるのみで利用できることから、

ユーザが利用を開始することの容易さと、既存のネットワークに接続された全てのデバイ スがそのまま利用できることから、通信する両端の機器が対応しなければならないモデル と比較して、初期導入コストにおいて優位性がある。

ここまで述べたように、本提案方式は外出先で借用した端末や、ノンPCデバイスを用 いて利用するシーンにおいて他の既存技術よりも優位性がある。本提案方式では、ユーザ が自宅や SOHO オフィスにアクセスするというケースにおいて、外出先で利用可能な情 報家電などの非力なデバイスを含む様々な端末をそのまま利用することができる。利用端 末にインストールや設定を行う必要がなく、操作も簡便であることが、他の技術との優位 性となっている。また、家庭内の機器についてもm2m-XやUDPポートパンチングなど の機能を追加することなく、現在利用している機器をそのまま利用することができること から、既存環境への導入も非常に容易であり、導入容易性や全体のコストでの優位性があ る。

一方で、PC端末を持ち出して外部から利用するシーンにおいてはPPTPやL2TPの利 用の方がより強固でかつ LAN 内に自由にアクセスできるという汎用性が高い。本提案方 式とPPTPやL2TPは同一のブロードバンドルータ上に実装可能であるため、本提案方式 とPPTP、L2TP などの技術は利用シーンによって使い分けて利用される技術であると考 えられる。

表 4-9 提案方式と既存技術の比較検討

IPsec PPP、L2TP(+ IPsec) m2m-X UPnP UDP/TCP ポートパンチ

ング

本提案方式

概 要

IPsec トンネリングを端 末 と ル ー タ 間 で は り 、 LAN内のプライベートア ドレスを持つパケットを カプセル化して LAN 内 の端末のように接続する ことを可能にする。

PPPパケットをIPにカプ セル化して、端末にLAN 内のプライベートアドレ スを付与し、LAN内の端 末のように接続すること を可能にする

情報家電などの機器同士 が直接接続するための規 格である。機器はSIPを 用いて互いに通信を開始 し、機器同士はIPsecを用 いて通信する。NAT制御 は既存技術を用いる。

UPnP に対応したルータ 装置に UPnP 機器が依頼 すると、ポートフォワー ディングとファイアウォ ールの開放を自動化する ことができる。

NAT内の機器同士が直接 通信するための機能で、

内部から外部へパケット を送信することでNATル ールを作成する。この方 式では動作するかはNAT 装置依存である。

外部の機器から WEB ブ ラウザを利用して本機能 を実装したルータにアク セスし、機器を選択する ことでファイアウォール とNATのルールを生成す る。

コ ス ト

△

ブロードバンドルータで もSOHO向けでの上位機 種が実装しており、追加 のソフト購入が必要なこ ともある

◎

市販の高機能なブロード バンドルータと PC で利 用できる。（追加コストな し）

△

市販されていないためコ ストの詳細は不明。ただ し普及しなかった要因は 家電のコスト増に見合わ ないなどが考えられる。

◎

UPnP 機器は広く販売さ れており、UPnP対応ルー タも市販のブロードバン ドルータで利用可能

◎

P2P アプリケーションが 実 装 し て い る 機 能 で あ り、費用は必要ない。

◎

市販のブロードバンドル ータに実装可能であり、

LAN内の機器や外部端末 には追加の機能は不要。

セ キ ュ リ テ ィ

◎

プロトコル仕様上は脆弱 性がない

◎

IPsec と組み合わせて用 いるとプロトコル上は脆 弱性がない

◎

IPsec を用いることでプ ロトコル仕様上は脆弱性 がない。

×

ファイアウォールが自動 的に開いてしまい、機器 にセキュリティホールが あると守れないため、利 用しないことが推奨され ている

△

第三者が進入する余地が ある動作がルーズなファ イアウォールやNATでな いと動作しない。ただし、

通過できるパケットを知 るのは困難。

○

ソースIPアドレスベース のファイアウォールによ り不正進入を防げる。

盗聴のリスク回避は利用 するアプリケーション依 存となる

IPsec PPP、L2TP(+ IPsec) m2m-X UPnP UDP/TCP ポートパンチ ング

本提案方式

簡 便 さ

×

IPsec クライアントのイ ンストールやアドレス設 定など専門的な知識が必 要。

△

利用するルータと端末に おいて、プロトコルの選 択など、比較的知識が必 要な設定が存在する。

○

情報家電のネットワーク 設定やSIPの登録で利用 できる。

◎

つ な ぐ だ け で 利 用 で き る。

○

P2P アプリケーションが 自動で実施する。ただし、

動作しないNAT装置もあ り、利用可能かの判別は 難しい。

○

WEB ブラウザでのクリ ック操作で利用できる。

UPnP に未対応の機器の 設定の場合のみIPアドレ スの入力が発生する 端

末 の 制 約

△

端末側のクライアントソ フトの対応状況による。

また、モバイル端末への 対応は少ない。

○

WindowやMacなどのPC で利用可能。

情報家電には一般に実装 されず、PDAでも利用で きるものは限られる。

×

m2m-X の実装された端 末と、通常はIPv6のネッ トワークが必要であり、

対応端末は市販されてい ない。

○

UPnP 対応の情報家電は 一般に広く発売されてお り、PCでも利用可能。

△

P2P アプリケーション同 士がインストールされて いることが前提となる。

◎

WEB ブラウザが利用で きるだけで良い。LAN内 の端末への制約はなし。