SoftEther.co.jp トップページ / PacketiX VPN 2.0 Web サイト | |||
|
|
2004年1月10日(土)SoftEther を危険視する記事やご意見に関するコメント
|
SoftEther は危険なソフトウェアではありません。使い方によっては危険になる場合もありますが、それは大半のソフトウェアでも同様です。ソフトウェアは慎重に使いましょう。 |
ネットワーク管理者、特に社内 LAN などの管理を担当されている初心者・中級者程度※1 の管理者の方々からは、「SoftEther はファイアウォールなどを抜けることができるソフトウェアであるので、このような危険なものを誰でもダウンロードできるようにするべきではない」旨の意見を多くいただいております。これについて、私は以下のように考えます。
SoftEther の特徴として、大半のファイアウォールや Proxy サーバーなどを経由 (通過) し、外部の仮想 HUB に接続することが容易に可能であるということが挙げられます。この特徴により、既存のファイアウォールの設定を変更する危険を冒さずに、LAN 内とインターネット上の別のネットワークやコンピュータとの間で確実に VPN を構成することができます。
この特徴について、「社員が社内から勝手に外部にトンネルを掘ることができるので、ネットワーク管理側としては従来のファイアウォールに頼った管理が困難になってしまう」という理由で、「このようなことができる SoftEther をフリーウェアとして公開するべきではない」ことを主張され、SoftEther が無料でダウンロードできる状態を強く批判される方がいらっしゃいます。つまり「社員には無許可での通信を禁止しているのに、SoftEther それを可能にしてしまう、悪いソフトである」という批判です。
このような意見は筋違いであり、極めて自己本位 (自分勝手) な主張ではないでしょうか。
社内 LAN をファイアウォールで守り、社員の外部との通信に制限を設けている、というのは、その組織の都合上そのようなポリシーが制定されているに過ぎません。
SoftEther のユーザーは、あなたの管理されている LAN を使っている社員だけではありません。非常に多くの方々にご利用いただいているソフトウェアです。会社でも、管理者の許可を受けた上で拠点間 VPN 接続に使用されている方もいらっしゃいますし、そもそも個人で活用されている方も多数いらっしゃいます。そして、これらの方々は SoftEther が無料で公開されていることによってはじめて SoftEther を活用して利益を得ることができたのです。
多くの方々にご活用いただけたので、SoftEther をフリーウェアとして無償で配布したことは結果的に大変良かったと感じています。それを、「うちの会社で誤用/悪用されると困る。だから SoftEther の公開は中止してくれ。」というような自己本位な発想で無償公開の中止を求めるというのは、いかがなものでしょうか。
SoftEther のようなソフトウェアを求めている方は多くいらっしゃいます。「社内 LAN の管理が難しくなる」といった理由で SoftEther を批判することは、あなたの会社内での都合を、無関係なユーザーに対して押し付けていることと同じです。
「我が社の社内 LAN の管理が難しくなるので、SoftEther
のようなソフトウェアを公開するべきではない」といった自己本位な批判はやめてください。SoftEther
のユーザーは、あなたの会社の社員だけではありません。インターネット上で、多くの方が活用しているソフトウェアです。 私は SoftEther を特定の会社のために公開したり、公開を中止したりすることは絶対にありません。 |
また、「SoftEther は社内ポリシーを無効化するソフトである」といった批判も筋違いです。その社内ポリシーとは、あなたの会社内でのみ通用しているポリシーです。他の SoftEther ユーザーには全く関係ありません。そのため、このような理由で SoftEther の開発・公開を中止するべきであると主張されるのは間違っています。
SoftEther は、TCP ポート 443 (HTTPS) を使用して、LAN の外部にある仮想 HUB と通信可能です。しかし、実際に流しているプロトコルは SSL ハンドシェイク プロトコルや SSL 暗号化通信ではなく、SoftEther Protocol です。つまり、現在のバージョンでは SoftEther 用の独自の暗号化プロトコルを 443 に流していることになります。
このことについて、ネットワークに詳しい方から「HTTPS 用のポート 443 を別の目的で偽装して通信することはマナー違反であり、やめるべきである」というご意見をいただいています。
このようなご意見は当然のことであります。ファイアウォールを通過するために、通常制限のかかっていないポート 443 を通過させる目的で SSL ではない通信を流すことはあまり好ましく無いことであるというのは、私も認識しています。
そこで、次のバージョンの SoftEther では、すべての SoftEther プロトコルの通信を SSL で暗号化することにしました。また、セッションの開始は "SoftEther Protocol" ではなく、HTTP の GET または POST で開始することになります。
すなわち、従来はポート 443 に "SoftEther Protocol" で始まる専用プロトコルを流しており、結果として HTTPS 用のポートを HTTPS でないパケットが流れるという、ネットワーク上のマナー違反が起きてしまっていましたが、次期バージョンでは通信内容が本物の HTTPS 通信になります。
「ポート 443 で HTTPS を偽装」している現状が改善され、「ポート 443 で本物の HTTPS を使用する」ことになります。
「ポート 443 に HTTPS
以外のパケットを流すべきではない」というご意見を受け入れ、次のバージョンでは実際に HTTPS
を使用して通信を行うように改良する予定です。 同時に SSL を採用することにより SoftEther VPN パケットの安全性を一層高めることができ、支店間 VPN などの重要な用途にも安心してお使いいただけるようになります。 |
SoftEther の通信を遮断することができるファイアウォール製品が発売されるということを聞いております。
これは大変歓迎すべきことであり、SoftEther の通信を全面的に禁止したいと考えておられるネットワーク管理者の方々にはぜひご活用いただければ良いのではないかと思います。
ただ、次期バージョンの SoftEther では (上記のように) HTTPS (SSL) に対応する予定ですので、このようなファイアウォール製品を開発されている方には、ぜひ新しい SoftEther over SSL プロトコルにも対応していただければ助かります。
私自身でも今後 SoftEther の通信を遮断するソフトウェアを開発していきたいと考えています (SoftEther と同様にフリーウェアとして配布したいと思います) が、SoftEther の通信が HTTPS 対応になった場合、技術的にどうすれば SoftEther の通信を検出してブロックすることができるのかということに大変興味があります。
※1 個人的な見解であり、批判している訳ではありません。
お問い合わせ先 | 使用条件 | |
Copyright © 2004-2006 SoftEther Corporation. All Rights Reserved. | SoftEther.co.jp |