http://internet.watch.impress.co.jp/cda/news/2004/08/30/4418.html
http://www.itmedia.co.jp/news/articles/0408/30/news003.html?nc20
http://www.softether.com/jp/news/040830.aspx
SoftEtherのお話よ。SoftEther通信の検出/自動遮断ができるソフトを、配布元であるソフトイーサ株式会社が出してきたわ。
ぱっと見、企業のネットワークエンジニアにはとても朗報に見えるんですけれども。実際にはもう少し深い考察が必要なポイントが存在していることも確かだわ。
具体的な内容…の前に、一つだけ記事に突っ込みを入れておくわ。

http://internet.watch.impress.co.jp/cda/news/2004/08/30/4418.htmlより
SoftEtherは、イーサネットをソフトウェア的にエミュレートすることによって、容易にVPNを構築することができる無料のソフトウェア。簡単にVPN環境を構築できることから、個人や企業ユーザーに好評を得て多く利用されている。

さすがは「何も考えないオタクがそろってるINTERNET Watch」だわ。「個人や企業ユーザーに好評を得て」の裏に潜む怖い予想が目白押しな現実がどこまで認識できているのかしら？
もっとも「現実を踏まえた上での発言」だとすると、現場の壮絶な状況が、季節外れの怪談のようにあたしの胸に響いてくるんですけれども。まさか、公式サイト( http://www.softether.com/jp/news/040830.aspx )での「大変多くの個人および企業ユーザーの方々にご利用いただいている」って発言を鵜呑みにしているんじゃなくってよね？
もう一つ、突っ込みを。

http://www.itmedia.co.jp/news/articles/0408/30/news003.html?nc20より
Alertは、社内ネットワークに設置した監視用コンピュータに導入して使用する。ネットワーク上の全Ethernetパケットをリアルタイムに解析し、SoftEtherプロトコルを検出すると、通信ログを自動的に管理画面に表示し、ログファイルに記録する。対応OSはWindows 2000/XP/Server 2003。

対応OSに間違いがあるわ。対応OSは、公式サイト( http://www.softether.com/jp/news/040830.aspx )によれば「SoftEther Alert は Windows 2000 / XP / Server 2003 および Linux 上で動作」よ。こういう部分でのミスってのはちょっといただけないわね。

さて。では本番の考察に移ってみるわ。

http://www.softether.com/jp/news/040830.aspxより
主に企業のネットワーク管理者の方々のご要望にお応えするために、「SoftEther Alert」および「SoftEther Block」の無償配布を行うことを決定いたしました。

まぁ当初から散々この話ってのは出ていたわね。三菱マテリアルからの製品版の話とかそのあたりを考えて、対外印象的に正しい判断だと思うわ。それがたとえポーズだとしても。
ただ、当初の「ガキ丸出し」の発想からすると、ちょっと違和感がないわけでもないわ。年齢的に考えて「成熟してきた」可能性もありえるんですけれども。優秀な懐刀が出てきた、ってみなすほうが現実的なのかしら？

http://www.softether.com/jp/news/040830.aspxより
「SoftEther Alert」は、既存の社内ネットワークに設置した監視用のコンピュータにインストールし稼動させることにより、ネットワーク上を流れるすべての Ethernet パケットをリアルタイムで分析し、SoftEther VPN ソフトウェアによる通信 (SoftEther プロトコル) が検出された場合、その通信ログを自動的に管理画面に表示し、ログファイルに記録することが可能です。

正直なところ、基本的な内容/機能ってネットエージェント株式会社( http://www.netagent.co.jp/ )さんのパケットブラックホール( http://www.packetblackhole.jp/ )と大差ないようにしか見えないのよね。もちろん、SoftEther Alertは「SoftEther VPN ソフトウェアによる通信」を解析する、というオプションはついているんですけれども。(SoftEther Alertは「パケットの分析と記録」なので、あえて「One Point Wall ( http://www.netagent.co.jp/onepoint/ )」の話は入れていないわ)
こういう製品の場合、やっぱり「基本的な根性」がとても気になるわ。具体的には「どれくらい大量のパケットを遅延なく捌けるか」っていう部分よ。
パケットブラックホールの場合、有償であることも伴ってではあるんですけれども、性能から仕様、サポートにいたるまで、比較的しっかりした背景が存在するわ。それっていうのはつまり「企業にとってどの程度採用しやすいか」の大切な目安（「対"無理解な上司達"向け、稟議書通過のための武器」）があるってことなの。
SoftEther Alertには、残念ながら今のところそういったものは何も存在しないわ。理想としては「基本は無償だが、有償でサポートのオプションもある」というふうになるとよいんですけれども、そのあたりってどんな風に考えているのかしら？

一つ目の「怖い発言」は以下のものだわ。

http://www.softether.com/jp/news/040830.aspxより
通常の IDS やファイアウォール製品のルール (シグネチャ) ベースでのパケットの分析機能では検出することが非常に困難であった SoftEther プロトコルを、非常に高い確率で確実に検出することが可能です。

http://www.softether.com/jp/news/040830.aspxより
SoftEther Alert の持つトラフィック パターン ベースの検出エンジンは、従来の IDS やファイアウォールと比較して、より確実に SoftEther プロトコルによる通信のみを検出することができます。

BIGによる強調はあたしが独断でつけさせていただいたわ。
なんていうか…判断が難しい発言よねぇ。何はともあれ「100%確実に」捕捉するのは非常に困難である(と考えている or アピールしたい)のは分かるんですけれども。
全力を投入した場合における「どの程度の確立でパケットの識別が可能なのか」って議論のほかに「どの程度力を注いでパケットを識別しようとしているのか」って部分にも考察が必要だわ。
結局、穿った見方をしてしまえば「こっそりバックドアを仕込めるように細工する」ことも容易なのよね。だって、それらのパケットに対しては「例外的パケットである」ってことで、対外的に「嘘はついていない」状態にできるんですもの。
まぁ「だから当初のプロトコル作成の段階で"ちゃんとパケットが識別できる"ような仕様にしていないあたりが十分に問題だ」っていう前の話を蒸し返してみてもいいんですけれども。
いずれにしても。現時点において、このあたりはほかに判断材料がないだけに純粋にグレーだわ。

http://www.softether.com/jp/news/040830.aspxより
また、現在市販されているファイアウォール製品や IDS 製品で SoftEther の通信の検出または遮断が可能であるとされている製品は、ソフトイーサ株式会社が配布している SoftEther VPN ソフトウェアのバージョンアップなどによるプロトコルの変更によって効果が得られなくなる危険性があります。

この辺はまぁ「有償でやってるところはこういうサポートって怠らないのよ(だってお金になるんですもの)」っていう突っ込みをしてみてもいいんですけれども、まぁ「自社製品を使ってくれ」っていうアピールとして標準的な書き方でもあるわね。
むしろ、あれだけ世間を知らないとしか思えない発言をぶちかましまくってたお子様が、こういう「ちゃんとした攻撃手段」を使っていることのほうが驚きではあるわ。

http://www.softether.com/jp/news/040830.aspxより
SoftEther Alert はソフトイーサ株式会社が配布する純正の SoftEther 検出ソフトウェアであることから、今後 SoftEther VPN ソフトウェアのバージョンアップにより SoftEther プロトコルが大幅に変更されても、SoftEther Alert が速やかにアップデートされることが期待されるため、より安心してご利用いただけます。

この発言もまた微妙なのよねぇ。
まぁ無償のものですから、責任を持ってバージョンアップをしてくれ、とも言いにくいんですけれども。
ただ「何らかの事情、または何らかの意図をもって」バージョンアップが滞っても、どこにもクレームを持っていけないのよねぇ。この辺も「会社にとっては」採用しにくい一因となるわ。
結局のところ「必要なところに行き渡らせるために必要なもの」がかけているの。
これって「配慮の欠落」のなせる業なのかしら？ それとも「わざと」なのかしら？

http://www.softether.com/jp/news/040830.aspxより
「SoftEther Block」は三菱マテリアル株式会社の協力によりソフトイーサ株式会社が無償提供を開始する Layer-2 透過型ファイアウォール (フィルタリング) ソフトウェアであり、特定のネットワーク回線上に Layer-2 のブリッジを構成するように設置したコンピュータ上にインストールすることにより、SoftEther の通信を自動的に検出し、その通信を遮断することが可能です。

「ブリッジを構成するサーバ」にLinuxを使っているところってどれくらいあるのかしら？ って疑問もあるんですけれども(場所にもよるんですけれども、パワー的に不安を抱いているようなところも少なくないと思うわ)。
それ以上に「SoftEther の通信を自動的に検出」の部分への細かい言及が全然ないところが微妙だわ。SoftEther Alertと同じエンジンを使っている可能性が高いとは思うんですけれども、それはそれでおなじ懸念が発生するだけですし。

http://www.softether.com/jp/news/040830.aspxより
「SoftEther Block」は Linux バージョン 2.4.20 以降のカーネルに対応したモジュールとして提供され、iptables のルールの一部として組み込むことが可能です。

これももう一つどうかと思うわよね。せめて「普通のデーモン」として動かせないものかしら？
あたし的には、いきなりカーネルのモジュールとして提供するあたりが「Windows文化の染み渡った怖い発想」にしか見えないんですけれども。


結局のところ、まだ真意も背景も「見えない」ってのが現時点での結論だわね。
もちろん「社会を意識してよい方向に成熟した」とみなすことも可能なんですけれども、同時に「建前だけ取り繕って中身は前のまま」っていう可能性も否定できないわ。そしてなにより「結局つめが甘いから、もっとも必要としている会社での採用が比較的に困難」っていう部分もあるわ。
相変わらず「しばらくは目が離せない」もののままみたいだわね。


せめて、成長したら素敵な殿方になるってわかっていれば、あたしも愛情をこめて見守りたいんですけれども。
過去を考えると、賭けにしてもちょっとオッズが高そうなのよねぇ…