SPI(ステートフルパケットインスペクション)とは?
SPIとは、「ステートフルパケットインスペクション」の略称で、ファイアウォールにおける重要な機能の一つです。SPIは、パケットがネットワークを通過する際に、そのパケットが正当なものかどうかを判断するために利用されます。
通常のパケットフィルタリングでは、単にパケットの送信元や宛先、ポート番号などで判定されますが、SPIでは、パケットがどのような状態であるか(ステート)を保持しており、その情報を使用して判定するため、より高度なセキュリティ対策が可能になります。
ファイアウォールにおけるSPIの重要性
SPIは、ファイアウォールの中でも特に重要な機能の一つです。通常のパケットフィルタリングだけでは、単純な攻撃に対処することはできますが、応用的な攻撃からは守ることが難しくなります。
しかし、SPIを利用することで、セッションを保持し、不正なパケットを遮断することができます。例えば、TCP/IP通信において、データを分割して送信することができることを利用した攻撃(分割されたパケットを再構築して攻撃する、いわゆる「TCP/IPスタックの隙間をつく攻撃」)に対して、SPIは有効な防御手段となります。
SPIの動作原理
SPIは、パケットが通過する際に、そのパケットが属するセッションを特定し、保持しておきます。そして、そのセッション情報をもとに、パケットが正当なものかどうかを判定します。ファイアウォールは、パケットが保持されているセッションに属している場合には、通過を認めます。一方、保持されていない場合には、不正アクセスとみなし、遮断します。
また、SPIは、データが暗号化された状態でも、そのパケットが属するセッションを特定することができます。このため、VPN接続の利用など、暗号化を行った場合でも、セキュリティ対策を行うことができます。
まとめ
SPIは、ネットワークセキュリティにおける重要な機能であり、ファイアウォールの中でも特に重要な役割を担っています。セッションを保持して、不正なパケットを遮断することができるため、高度なセキュリティ対策に必須の機能といえます。
参考記事
合わせて読みたい
【Google Chrome】右クリックで翻訳がでなくなった時の対策方法の決定版