既報のとおり、米Bivio Networksの日本法人であるビヴィオネットワークスは2010年4月にDeep Packet Inspection(DPI)ベースのマルチアプリケーションサービス・プラットフォーム「アプリケーション・サービス・ゲートウェイ(ASG)」を発表した。

同社が提供するASGとはいったいどういったものなのか、日本法人ビヴィオネットワークス 代表取締役の兵頭弘一氏にその内容を聞いたので、それをお伝えしたい。

ビヴィオネットワークス 代表取締役の兵頭弘一氏

そもそも同社の企業理念というものは「ワイヤスピード・ディープパケット処理に基づくアプリケーションとサービスの実現を可能とするネットワーキングシステムのリーディングサプライヤ」を目指すというもの。この考え方を元に事業を推し進める同社は現在、事業として第3段階に到達していると兵頭氏は説明する。

第1段階は「Bivio7000シリーズ」に代表されるDPIによるさまざまな機能を提供するアプリケーションサービスゲートウェイとしてのハードウェアを提供するという段階。第2段階はそうしたハードウェアで動作するソフトウェアをパートナー企業やカスタマが作成し、活用するという段階。そして第3段階が同社自身が自前でソフトウェアを提供し、それをカスタマに活用してもらうというものだ。この新たな段階へのステップアップに向け同社は約1年前の2009年5月にBivio7000シリーズ向けソフトなどの提供を行っていたFlowlnspectを買収、同社のソフト開発ノウハウなどを自社のものとしていた。

「Bivio7000シリーズ」をベースとした「Application Service Gateway(ASG)」

なぜ同社はこうしたステップを踏んでまで自社でソフトウェアまで提供することを選んだのか。それについて兵頭氏は「ASGがネットワークの爆発に求められる機器となる」ことを挙げる。

ネットワークにつながる機器は従来、PCがメインであった。しかし、携帯電話やスマートフォンからの接続が増え、そして組込機器のようなデバイスもネットワークで接続されようとしている。この接続端末の多様化は、ネットワークへと接続するためのプロトコルの多様化を引き起こす。当然、接続機器の数が増えればトラフィック量も増加することとなる。そうなればネットワークが抱える基本的な課題であるセキュリティやネットワークの可視化などをいかに対応すべきか、という比重もより増すということとなる。

「特にインターネットサービスプロバイダ(ISP)は、元々はネットワークにユーザーを接続させることを収益としていたが、常時接続化などによりそれも頭打ち。接続料金以外の収益方法を確立しないといけない状態に追い込まれている。そこで検討されているのがネットワークサービスの提供だが、それを実現するためにはDPIを活用する必要がある」(兵頭氏)というISP側の問題に対応できるのが同社のASGとなる。

そもそも同社のDPIはアプリケーションレイヤでどのようなパケットが動いているのかをチェックしようというものであり、DPIのハードウェアを用いてさまざまなサービスをその上で動かそうというという考えがベースにある。だからこそ、例えば常時接続ではなく、逆に従量制にして、使用したアプリケーションに応じて課金割合を変化させる、といったこれまでのサービスの提供方法とは異なったサービスの提供も可能となるという。

ポイントとなるのは、ここでASGが何の役割を果たすのか、という点だ。同社のASGは、ネットワークレイヤのよりエンドユーザーに近いところに位置づけし、パケットをチェックしようというもの。また、従来ルータメーカーなどがネットワーク機器をサービスゲートウェイ的に用いていたものが、同社のASGでは、搭載されているLinuxを活用することで、従来必要だった外付けサーバを用いずにそれらが行っていたプロビジョニングや認証サーバ(RADIUS)などの機能を実現できるようになる。

こうした機能を用いることで、例えば自己学習によるパケットの認識が可能となる。つまり、IPを認識し、エンドユーザーを認識、そのユーザーが具体的にどういったアプリケーションをメインに使用しているのかといったプロファイルの作成や、その情報をもとにそれぞれに応じたポリシーの適用などが可能となる。

ISP側としても、同装置はソフトウェアを変更することでさまざまな機能に対応できるため、投資コストの抑制などが可能となる。また、「例えばP2Pのソフトウェアなどはバージョンが変わると、パケットも変わったりする。これをハードウェアで対応しようとしていたら、新しいものを導入しようとしている間に新しいバージョンとパケットの形状となる可能性もある」(同)と、ソフトウェアでの提供の利点を説明する。

今回提供が開始されたサービスモジュールは3種類。これらのサービスモジュールをDPIエンジンの上に置くことで、どのようなアプリケーションに対してDPIを用いるか、といったことが可能となる。

3種類のサービスモジュールの1つ目は「Webコンテンツ制御」。URLベースのフィルタリングを基本に、ビジネス/SOHO向けの制御も可能。特にビジネス面では、従来多くのIT部門がそうしたフィルタリングの導入や評価などを行っていたものを、ISP側で提供することで、運用管理部門の負担などを減らすことが可能となる。「ポイントはどういったデータベースを元にフィルタリングをかけるか、という点」(同)で、現在、日本製のフィルタリングデータベースなどを有するメーカーと協業を進めており、任意のカテゴリ別に加え、WebのコンテンツごとのフィルタリングなどもISP側で決めて提供することが可能となるとする。

また、フィッシングに対する対策も提供可能となる。複数のDNSサーバにアドレスの確認をとることが可能で、それぞれのDNSサーバ側の回答からアドレスの正当性をチェックできるほか、タイプミスによる別サイトへ飛ぶ際なども警告を出すことが可能となったりもするという。

2つ目が「トラフィックポリシーの執行」。これによりサブスクライバごとのニーズに応じたP2Pアプリケーションの規制なども可能となる。

3つ目が「VoIPサーバプロテクション」。一般的な進入検知に加え、シグナリングの解析による通話者の正規の可否確認も可能となる。

これらのサービスモジュールは別々に導入が可能だ。また、今後、半年に1回程度の頻度で新たなモジュールやアップデートを行っていく計画としている。

なお、メインターゲットとするISPに対し兵頭氏は、「これからISPがサービスを重視していくためにはDPIが重要となってくる。新しいことを行うために新しいハードウェアを導入するというビジネススタイルはネットワーク分野に関しては破綻しているといえる。我々のASGでは新しいサービスを導入するのにソフトウェアを入れるだけで済む。インターネットの接続性+αをソフトだけでできるのはさまざまな面でアドバンテージを提供することが可能となると信じている。我々はソフトの提供を通してハードウェアでの提供よりもはるかに迅速にカスタマのやりたいことを実現できるよう努力していくつもりだ。もし、やりたいことがあるのであれば我々に是非相談していただきたい」とコメントしてくれた。