ネットワークセキュリティ
ディープパケットインスペクション(DPI)
別称: DPI, コンテンツインスペクション
定義
ヘッダだけでなくパケットのペイロード全体を検査し、アプリケーション・コンテンツ・脅威を識別する技術。
ディープパケットインスペクション(DPI)は、IP/TCP/UDP ヘッダを超えてアプリ層プロトコル(HTTP、DNS、SMB、TLS メタデータなど)を解析し、実際のアプリやコンテンツを識別します。アプリ識別型ファイアウォール、IPS、NDR、アンチマルウェアゲートウェイ、トラフィックシェイピングの基盤となり、プロトコルの悪用・データ持ち出し・シグネチャベースの脅威の検出に欠かせません。現代の通信の多くは TLS で暗号化されているため、DPI は TLS インスペクションや、JA3/JA4・証明書フィンガープリント・トラフィック解析のようなメタデータ手法と組み合わせるのが一般的です。プライバシー・性能・法令面とのバランスを取る必要があります。
例
- IPS が HTTP トラフィック中のシグネチャと一致して Cobalt Strike のビーコンを検知する。
- NGFW が TCP/443 上の通信を DPI により Zoom や YouTube として分類する。
関連用語
次世代ファイアウォール(NGFW)
ステートフル検査に加えて、アプリケーション識別・統合 IPS・ユーザー識別・TLS 復号を組み合わせ、よりきめ細かなポリシーを適用する先進的なファイアウォール。
侵入防止システム(IPS)
データパスにインラインで配置され、悪意のあるトラフィックを検知してリアルタイムに遮断・リセット・浄化する能動的なセキュリティ統制。
侵入検知システム(IDS)
ネットワークやホストの活動を監視し、悪意のある挙動を検出してアラートを発する受動的なセキュリティ統制。トラフィックは遮断しない。
パケットフィルタリング
各パケットのヘッダフィールドを検査し、静的なルールセットに従って通過または破棄を決定するネットワークセキュリティ技術。
シグネチャベース検知
観測したトラフィック・ファイル・挙動を、既知の悪性パターン(シグネチャ)のデータベースと突き合わせて悪意ある活動を検出する手法。
SSL ストリッピング
被害者の HTTPS 接続を密かに平文の HTTP にダウングレードさせ、攻撃者が通信内容を読み取り改ざんできるようにする中間者攻撃。