// シス担のミカタ
セキュリティ製品 - ネットワーク

DPI(ディープ・パケット・インスペクション) でぃーぴーあい

パケット検査ファイアウォールIDS/IPSトラフィック分析アプリケーション識別帯域制御
DPIについて教えて

簡単に言うとこんな感じ!

ネットワークを流れるデータの「中身まで読む」技術だよ!普通の検査が封筒の宛名しか見ないのに対して、DPIは封筒を開けて手紙の内容まで確認するイメージ。危険なコンテンツや不審な通信をしっかり見つけ出せるんだ!

DPI(ディープ・パケット・インスペクション)とは

DPI(Deep Packet Inspection)とは、ネットワーク上を流れるパケット(データのかたまり)の「ヘッダー(宛先・送信元などの制御情報)」だけでなく、ペイロード(実際のデータ内容)まで踏み込んで検査する技術のことです。従来の「SPI(ステートフル・パケット・インスペクション)」が封筒の表書きしか見ないのに対し、DPIは封筒を開封して中身まで精査するイメージです。

DPIはセキュリティ機器(ファイアウォール・IPS/IDSなど)に組み込まれ、マルウェア通信の検出・ブロック、不正アクセスの遮断、特定アプリケーションの識別・帯域制御など幅広い用途に使われます。企業ネットワークやISP(インターネットサービスプロバイダー)レベルで導入されており、通信品質管理やコンプライアンス対応の手段としても活用されています。

一方でDPIは「通信の内容を読む」という性質上、プライバシーや監視との境界線が問われる技術でもあります。適切なポリシーと法的根拠のもとで運用することが不可欠です。

DPIの仕組みと検査の深さ

DPIは、パケットを受け取った際にどの層(レイヤー)まで検査するかによって、従来技術と大きく異なります。

技術検査対象確認できること
パケットフィルタリングIPヘッダーのみ(L3)送信元IP・宛先IP・ポート番号
SPI(ステートフル検査)ヘッダー+セッション状態(L4)通信の文脈・TCPセッション整合性
DPI(ディープ検査)ヘッダー+ペイロード(L7まで)アプリの種類・コンテンツ・署名一致

DPIが特に強力なのは、L7(アプリケーション層)まで到達できる点です。ポート番号が正規(例:80番=HTTP)であっても、中身が別のプロトコルや悪意ある通信であれば検知・遮断できます。

検査の主な方式

  • シグネチャマッチング — 既知の攻撃パターン(ウイルス・エクスプロイト)のパターンと照合
  • プロトコル異常検知 — 正規プロトコルの仕様から外れた挙動を検出
  • ヒューリスティック分析 — 統計的な振る舞いパターンから未知の脅威を推測
  • アプリケーション識別(AppID) — YouTube・BitTorrent・Zoomなど特定アプリのトラフィックを識別

覚え方

「DPはDeep(深い)検査!表札だけじゃなく引き出しの中まで調べる刑事さん」

歴史と背景

  • 1990年代後半 — インターネット急拡大に伴い、ポートベースの単純なファイアウォールでは対応困難な脅威が増加
  • 2000年代前半 — IDS/IPSの普及とともに、パケットのペイロード検査技術が商用化。Sourcefire(現Cisco)などが先行
  • 2000年代中盤 — P2P(BitTorrentなど)の帯域爆発を受け、ISPがDPIを帯域制御・QoSに活用し始める
  • 2010年代次世代ファイアウォール(NGFW)がDPIをコア機能として統合。Palo Alto Networks・Check Pointなどが台頭
  • 2013年 — スノーデン事件により、ISPや政府によるDPI監視がプライバシー問題として大きくクローズアップされる
  • 2010年代後半〜現在SSL/TLS暗号化通信の増加により、復号(SSLインスペクション)を組み合わせないとDPIの有効性が低下する課題が顕在化

DPIと関連技術・製品との比較

DPIは単体の製品ではなく、さまざまなセキュリティ機器に機能として内蔵されています。

製品・技術DPIの活用方法
次世代ファイアウォール(NGFW)アプリ識別・脅威検知の中核エンジンとして搭載
IDS/IPSシグネチャマッチングによる侵入検知・防御に使用
WAF(Webアプリケーションファイアウォール)HTTPペイロードを解析してSQLインジェクション等を検出
UTM(統合脅威管理)アンチウイルス・URLフィルタリングの検査に活用
ISP帯域制御P2P・動画ストリーミングを識別し優先度を調整

DPIとSSLインスペクション(復号検査)

現代のWebトラフィックの大半は**HTTPS(TLS暗号化で保護されており、DPIだけでは暗号化された中身を読めません。そこでSSLインスペクション(TLSターミネーション)**と組み合わせ、一度復号してからDPI検査し、再暗号化して転送する方式が普及しています。

クライアント ──TLS──▶ [NGFW: 復号 → DPI検査 → 再暗号化] ──TLS──▶ サーバー
                          ↑ここでペイロードを検査

以下の図は、通常のパケット検査(SPI)とDPIの検査深度の違いを示しています。

SPI vs DPI:検査の深さの違い SPI(従来型検査) L3 ネットワーク層(IPヘッダー)✅ L4 トランスポート層(TCPヘッダー)✅ L5-6 セッション・プレゼン層 ❌ L7 アプリケーション層(中身)❌ ペイロード(データ本体)❌ DPI(ディープ検査) L3 ネットワーク層(IPヘッダー)✅ L4 トランスポート層(TCPヘッダー)✅ L5-6 セッション・プレゼン層 ✅ L7 アプリケーション層(中身)✅ ペイロード(データ本体)✅

関連する規格・RFC

規格・RFC番号内容
RFC 7011IPFIX(IPフロー情報のエクスポート)— DPIと組み合わせてトラフィック分析に利用
RFC 4303IPsec ESP — DPIが暗号化パケットを検査できない代表例として参照される
RFC 8446TLS 1.3 — 暗号化強化によりDPIの有効性に影響を与えた規格

関連用語

  • ファイアウォール — ネットワークの境界でトラフィックを制御するセキュリティ機器
  • 次世代ファイアウォール(NGFW) — DPIをコア機能として統合した高機能ファイアウォール
  • IDS/IPS — 侵入検知・防御システム。DPIのシグネチャ検査を活用
  • WAF — Webアプリケーション層に特化したDPI応用製品
  • UTM — DPIを含む複数のセキュリティ機能を一体化した統合脅威管理機器
  • SSLインスペクション — 暗号化通信を一度復号してDPI検査する技術
  • パケット — ネットワーク上を流れるデータの基本単位
  • OSI参照モデル — L3〜L7などの「層」の概念を定義したモデル