Vnet Project

開発の背景

  • IPv4グローバルアドレスの枯渇
  • NAT越え問題とは
  • 移動透過性
  • セキュリティ(認証と暗号化)
  • クライアント/サーバシステムとは
  • サーバに起因する課題
  • VNETプラスが必要な理由
    •

    IPv4グローバルアドレスの枯渇

    インターネットはIPv4グローバルアドレスで構築されています.
    しかし,グローバルアドレスの数が決定的に不足しています.
    インターネットに繋がる無数のネットワークはほとんどがプライベートアドレスで構築されています.
    プライベートアドレスは同じアドレス空間を皆で共有しています.
    インターネットとプライベートネットワークは,NAT,すなわちアドレス変換装置で繋がれています.
    この方法により,グローバルアドレスの枯渇問題が緩和され,インターネットは大きく延命することができました.
    IPv6はIPv4のアドレス枯渇問題を根本的に解決するために考案されましたが,普及に時間がかかっています.
    このように,現状のネットワークは,IPv4グローバル,IPv4プライベート,IPv6という3種類のアドレス空間が混在しています.
    このような事情から,現状のネットワークには様々な制約があります.
    まず,IPv4グローバルアドレス空間側からプライベートアドレス空間に向けての通信開始ができません.
    異なるプライベートアドレス空間どうしの通信もできません.
    これをNAT越え問題と呼び,現状のネットワークの最大の制約事項となります.
    また,IPv4とIPv6は互換性がないため,直接通信を行うことができません.
    通信デバイスが場所を移動するとIPアドレスが変化するため,通信デバイスの設定変更が必要になる場合があります.
    また,通信中に移動すると通信の継続ができません.
    このような事情から,セキュアエンドツーエンド通信の実現が難しいという課題があります.
    IoT通信やモバイル通信の普及に伴い,これらの制約はアプリケーションの開発手法にも影響を与え,最適なシステムの実現に支障を来たします.

    NAT越え問題とは

    インターネット側から見ると,プライベートネットワークは1台のNATが存在しているようにしか見えず,
    NATの内側の通信デバイスを指定して通信開始をすることができません.
    一方,プライベートネットワーク側から見ると,インターネット上のどのサーバと通信したいか指定することができます.
    このようにNATをはさんでグローバル空間とプライベート空間は非対称の関係にあり,IPネットワークに大きな制約を課しています.
    これまでこの制約は企業ファイアウォールのポリシーの陰に隠れ,表に出てきませんでした.
    しかし,リモートワークの要求の高まりにより,NAT越え問題は解決すべき最大の課題となりました.

    移動透過性

    TCP/IPは通信デバイスが移動することを想定していませんでした.
    TCP/IPはIPアドレスに位置識別子と通信識別子という2つの役割を持たせています.
    下図に示すように通信中にルータを跨って移動すると,IPアドレスが変化し通信識別子が変わることから通信を継続できません.
    一方,インターネットはエンドツーエンド(*)の原理により何もしてくれません.
    このような理由から,インターネットでは通信をしながら場所を移動する機能(移動透過性)の実現は簡単ではありません.
    (*)エンドツーエンドの原理とは,ネットワークは何もせず,高速かつ安価に実現されるべきというインターネットの基本的な考え方です.

    セキュリティ(認証と暗号化)

    インターネット上を流れるパケットの内容は簡単にモニタできます.
    モニタされたくない情報は暗号化することにより第三者の盗聴を防止する必要があります.
    また,通信相手が正しいかどうかを確認する手段が必要です.このため個人認証の技術との融合が必須です.
    暗号通信,個人認証ともに,通信技術と暗号技術と組み合わされることにより実現が可能で,TCP/IPにも一部その技術が組み込まれています
    しかし,これまで述べたTCP/IPの制約から,エンド通信デバイスどうしで直接のセキュアな通信を実現するのは難しいという課題があります.

    クライアント/サーバシステムとは

    現状のネットワークを使いこなす代表的な技術としてクライアント/サーバシステム(以後CS型システム)があります
    CS型システムはサービスを提供するサーバと,サービスを受ける複数のクライアントから構成されます.
    CS型システムは必ずクライアントから通信を開始します.
    また,サーバはクライアントから見て必ず通信経路を確立できるグローバルアドレス空間に設置します.
    CS型システムではプライベート空間側から通信を開始するので,NAT越え問題に悩まされることがありません.
    このことから現状のアプリケーションはほとんどCS型で実現しています.
    単にユーザどうしで情報を交換するだけのアプリケーションであっても,CS型システムに変換して実現する必要があります.

    サーバに起因する課題

    CS型システムの要となるサーバには運用面と性能面において以下のような課題があります.
    運用面ではすべての情報がサーバに集中するので万全のセキュリティ対策が必要です
    サーバには公開鍵証明書を発行してサーバの認証と暗号通信を行うのが一般です.
    しかし証明書の運用には維持費用がかかります.
    また,サーバに障害が発生すると影響が大きいので必ず二重化対策が必要です.
    性能面ではサーバが処理ネックになることがあるのでスケーラビリティを十分検討する必要があります.
    さらに,エンド装置間の通信において通信遅延が増大し,ネットワークのトラフィックが必要以上に増加します.
    このようなことから,CS型システムのサービスの開始には大きなハードルがあります.

    VNETプラスが必要な理由

    VNETプラスはネットワークを本来のあるべき姿に戻しエンドツーエンドの通信を可能とします.
    これに通信デバイスのグルーピングとエンドツーエンドのセキュリティを組み込みました.
    VNETプラスを適用すると,NATの存在もIPv4とIPv6の違いも意識する必要がなくなります.
    通信デバイスがどのように移動しても通信グループの定義変更は不要です.
    通信中に移動してもそのまま通信を継続します.
    万全のエンドツーエンド通信セキュリティを保証します.
    ユーザは自分が利用する通信デバイスにVNETプラスをアプリケーションとしてインストールし,簡単な設定をするだけです.
    このような理由からVNETプラスには以下のような効用があります.
    すなわち,LAN内で稼働する通信システムがそのままインターネットを跨る広域システムとして利用が可能になるうえ,安全性も向上します.
    新たなアプリケーションの開発においても同じです.
    LAN内で動くシンプルなシステムを開発すると,自動的にインターネットを経由した安全なシステムが完成します.
    開発効率が劇的に向上します.