// シス担のミカタ
ネットワークセキュリティ

ディープパケットインスペクション でぃーぷぱけっといんすぺくしょん

パケット検査ファイアウォールIDS/IPS通信制御トラフィック分析UTM
ディープパケットインスペクションについて教えて

簡単に言うとこんな感じ!

荷物を宅配便で送るとき、普通は「宛名だけ確認してOK」だよね。でもDPIは「箱の中身まで開けてチェックする」検査員みたいなもの! 通信データの中身まで見て、怪しいものを止めてくれるんだ。

ディープパケットインスペクションとは

ディープパケットインスペクション(DPI:Deep Packet Inspection) とは、ネットワークを流れるデータ(パケット)の「中身」まで詳細に検査するセキュリティ技術のことです。従来のファイアウォールが「どこから来て、どこへ行くか(IPアドレスポート番号)」だけを確認していたのに対し、DPIはデータの本文部分(ペイロード)まで読み取って分析します。

たとえばHTTPSで暗号化された通信でも、一定の前処理を経てパターンを分析することで「これはマルウェアの通信だ」「これはP2Pファイル共有だ」と識別できます。企業のセキュリティ機器(UTMやNG-FWなど)や、通信事業者のネットワーク機器に広く採用されており、不正通信の検出・遮断、帯域制御、コンプライアンス対応など幅広い用途で活躍しています。

一方でDPIは「通信の中身を覗く技術」でもあるため、プライバシーや通信の秘密との兼ね合いが常に議論されます。何のために・どこで使うかを明確にしたうえで導入することが重要です。

DPIの仕組みと検査レベル

ネットワークの通信データは「封筒(ヘッダ)+手紙の中身(ペイロード)」の構造になっています。DPIはどこまで読むかによって検査の深さが変わります。

検査方式確認する場所できること代表的な機器
パケットフィルタリングIPアドレス・ポート番号のみ特定アドレス・ポートの遮断従来型FW
シャローパケットインスペクション(SPI)ヘッダ+セッション状態ステートフルな通信制御ステートフルFW
ディープパケットインスペクション(DPI)ペイロード(中身)までアプリ識別・マルウェア検出・内容フィルタUTM・NGFW・IPS

覚え方:「宅配便チェックの深さ」

浅い検査 ──────────────────────────── 深い検査
  │                                        │
[宛名確認]    [差出人・配送履歴確認]    [箱の中身まで検査]
パケット        ステートフル              DPI
フィルタ         ファイアウォール
  • 浅い(パケットフィルタ):宛名(IPアドレス)だけ見てOK/NG
  • 中間(ステートフルFW):やりとりの流れ(セッション)を把握
  • 深い(DPI):荷物の中身(データ本文)まで開封・確認

DPIが識別できる主なもの

  • アプリケーション種別:YouTube・Zoom・BitTorrentなど
  • マルウェア・不正コード:シグネチャ(特徴パターン)との照合
  • 機密情報の流出:クレジットカード番号・個人情報のパターン検知(DLP連携)
  • プロトコル違反:正規ポートを偽装した通信(例: HTTP通信に見せかけたC2通信)

歴史と背景

  • 1990年代後半:ファイアウォールが普及するが、ポートやIPだけの制御では限界が露呈。P2Pファイル共有(Napsterなど)が既存フィルタを回避し始める
  • 2000年代初頭IDS(侵入検知システム)・IPS(侵入防止システム)が登場。パケットの中身を見る「ディープな検査」の必要性が高まる
  • 2003〜2005年:通信事業者が帯域制御目的でDPIを大規模導入。P2Pトラフィックの爆発的増加への対応として普及
  • 2008年以降UTM(統合脅威管理)・NGFW(次世代ファイアウォール)にDPIが標準搭載。企業向けセキュリティの基本機能になる
  • 2010年代:HTTPS(暗号化通信)の普及により、DPIの限界も顕在化。SSL/TLS復号(SSLインスペクション)と組み合わせた対応が一般化
  • 2020年代ゼロトラストSASEの文脈でクラウド上でのDPI(クラウドSWGなど)も広がる

DPIと関連技術の比較・位置づけ

DPIは単独で動くわけではなく、さまざまなセキュリティ機能と組み合わさって使われます。

DPIを活用する主なセキュリティ機能 DPI ディープパケットインスペクション パケット中身を解析 IPS 侵入防止システム 不正通信を自動遮断 NGFW 次世代ファイアウォール アプリ単位で制御 DLP 情報漏洩防止 機密データの流出検知 SSLインスペクション 暗号通信を復号して DPIを適用 UTM 統合脅威管理 DPIを中核に複数機能を統合

SSLインスペクション(復号検査)との組み合わせ

現代の通信の大半はHTTPSで暗号化されています。暗号化されたままではDPIが中身を読めないため、いったん復号→DPI検査→再暗号化という流れを取る「SSLインスペクション」が重要になっています。

[クライアント]──HTTPS──▶[UTM/NGFW]──▶[サーバー]

                       ここで復号 → DPI検査 → 再暗号化
                       (プロキシ的に動作)

⚠️ SSLインスペクションは「通信の中身を見る」行為のため、従業員への事前告知・就業規則への明記など法的・倫理的配慮が必要です。

DPIを使った帯域制御(QoS)

通信事業者や大企業では、DPIでアプリケーションを識別して帯域優先度を制御することもあります。

アプリ種別帯域ポリシー例
音声・ビデオ会議(Zoom等)優先度:高
業務システム(ERPなど)優先度:高
YouTube・Netflix優先度:中〜低
BitTorrent等P2P帯域制限・遮断

関連する規格・RFC

規格・RFC番号内容
RFC 7011IPFIXプロトコル(DPI分析結果のエクスポートに利用)
RFC 5102IPFIXの情報モデル定義
ETSI TS 103 120欧州における通信傍受(LI)とDPIの標準化
IETF RFC 8446TLS 1.3(暗号化強化によりDPIへの影響大)

関連用語

  • ファイアウォール — ネットワークの入り口でパケットの通過を制御するセキュリティ機器
  • [IDS・IPS](./ids-