MACsec
MACsecは、暗号鍵インフラを用いて、イーサネットなどのレイヤ2プロトコルで流れている「フレーム」を暗号化するための技術である。IPsec(IP Security Protocol)やSSL(Secure Sockets Layer)/TLS(Transport Layer Security)などと異なり、レイヤ2レベルで暗号化されるため、スイッチやルータ、ファイアウォール、IPS(Intrusion Prevention System)などの中間ノードでのインスペクションが可能となる点が大きく異なる。 拠点間接続におけるデータ保護と言えばIPsecがスタンダードな技術として幅広く利用されています。IPsecを伴うデータ転送は負荷の高い処理ですが、製品の進化に伴って処理性能は着実に向上しており、適切な製品選択を行えば多くのケースで必要なスループットは十分に確保できます。またIPでトンネリングされるため様々なWANに適用でき、NAT / Firewallを経由する構成にも十分な実績があります。ユーザ拠点とフロントシステムとの間を暗号化付きのVPNで接続する際には、第一に採用されるプロトコルと言えます。 対してMACsecは利用に際してイーサネットの接続性が前提となるため、WAN暗号化の手段として見た場合、WANに対する要求がまずハードルになることは想像に難くありません。そういった中でMACsecがどのような場面に適用できる技術か、検証を通じて探っていきたいと思います。 またMACsecは、伝送路となるイーサネットの中継機器全てが処理に対応するホップバイホップ(シングルホップ)構成の他に、非対応の機器が介在するマルチホップ構成を取ることができます。このため、広域イーサネットサービスを介してMACsecを適用すれば、マルチポイント型のWAN接続を透過的に保護することが可能となります。