「SSH G3アーキテクチャの概要」(SSHコミュニケーションズ・セキュリティ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.17(日)

「SSH G3アーキテクチャの概要」(SSHコミュニケーションズ・セキュリティ)

特集 特集

●SSH G3 アーキテクチャ

SSH G3 技術を開発する原動力となった主な要因は、スループット インテンシブなファイル転送や、アプリケーション トンネリングの大規模な使用における暗号化パフォーマンスに対する要求が増大し続け、これに応える必要があったことです。その目的は、プロトコルのパフォーマンスを新しいレベルにまで押し上げることにより、Secure Shell が、最も要求の厳しい環境であっても処理速度が滞ることなく使用できるようにすることでした。

SSH G3 は、完全に書き換えられた Secure Shell プロトコル実装で構成され、新しいアーキテクチャと暗号化アルゴリズムの拡張サポートが組み込まれています。ここで大切な点は、プロトコルの実装だけがアップグレードされたこと、およびこのプロトコル自体は IETF の SecSh ワーキング グループが規定している SSH2 と完全に互換性があるということです。

主に以下の 3 つの点でパフォーマンスが改善されました。

1)新たに最適化されたアーキテクチャによる、プロトコル スループットの改善

2)高度に最適化されたメモリ消費による、接続スケーラビリティの強化

3)CryptiCore(R) アルゴリズム (オプション) の使用による、暗号化およびデータ認証のパフォーマンスの改善

その他の改善として、新たな暗号化モジュールと認証モジュールを容易に統合するための、プラグインのサポートがあります。

新しい SSH G3 アーキテクチャは、SSH Tectia client/server ソリューション 5.0 のリリースの一部として、2005 年7月初旬に利用可能となる予定です。この新しいリリースの他の主な機能として、IBM z/OS メインフレームのサポートがあります。

●Connection Broker

SSH G3 におけるアーキテクチャ レベルの大きな変更点の一つとして、"Connection Broker" と呼ばれるコンポーネントの導入があります。Connection Broker は、すべてのクライアント側 Secure Shell に共通するコンポーネントです。第二世代の Secure Shell の実装とは異なり、SSH G3 ベースの、クライアント側Secure Shell には、プロトコル コードが組み込まれていません。代わりに、クライアント側のプログラムは、Connection Brokerのチャネルを要求し、そのConnection Broker がSecure Shell プロトコル機能とすべての暗号化操作を実行するのです。

Connection Broker ベースのこの新しいアーキテクチャの主要な機能は、セッションごとに実行する必要がある Connection Broker が 1 つだけであるということです。クライアント側のすべての接続を、単一ポイントで処理できる主な利点は、コードやポリシーの複製を回避でき、その結果として使用が簡便になり、メモリ消費も削減できることです。たとえば、GUI を備えた Windows クライアント (SSH Tectia Client と Connector) などのすべてのクライアント、およびコマンド ライン ツールは、同じ構成ファイルや設定を共有できます。

また、認証データの処理など、セキュリティが不可欠なすべての操作を単一のコンポーネントに隔離することで、セキュリティが大幅に強化されました。さらに、Connection Broker により、プロトコル スタック全体を各アプリケーションに統合することなく、Secure Shell 機能をクライアント アプリケーションと容易に統合できるようになりました。

Connection Broker は、SSH Tectia client/server ソリューション 5.0 以降のリリースにおいて、Secure Shell ベースのすべてのクライアント側プログラムの組み込みコンポーネントとなります。

●サーバー側のスループット

スループットの改善が新しいプロトコル実装の主な目的の 1 つであったため、Secure Shell チャネル データと実際のペイロードの処理を伴うコード パスに特別な注意が払われました。たとえば、コードでのデータ コピー操作の数が最低限に抑えられたため、スループット時間が削減されました。

SSH G3 の新しい Secure Shell サーバー アーキテクチャもマルチ スレッドであるため、マルチ プロセッサ サーバーを十分に活用でき、よりよいパフォーマンスが得られます。

●サーバー側のスケーラビリティ

SSH G3 は、n x m サーバー プロセス アーキテクチャを実装して、サーバー側のメモリ消費とパフォーマンスを最適化します。

他の大半の Secure Shell サーバー実装では、新しい接続がサーバーに確立されると常に、サーバー側プロセスを新たに作成します。たとえば、「セキュアなアプリケーション接続」 (トンネリング) では、大量のサーバー プロセスを発生させ、各プロセスが単一トンネルの実行に使用されることになります。結果として、メモリ使用が非効率となります。

新しい n x m サーバー プロセス アーキテクチャでは、次のように n + 1 個のサーバー プロセスが常に実行されます。1 つのマスタ サーバーが、n 個のサーバント サーバーに接続を割り当てます。サーバント サーバーの各プロセスが最大 m 個の同時接続を処理できる場合、サポートされる同時接続数は、n x m になります。この数は、環境とトンネル アプリケーションにより実際には何千という数になることもあります。

●CryptiCore アルゴリズム

SSH G3 アークテクチャは、3DES や AES など、広範な暗号化アルゴリズムをサポートしています。また、CryptiCore(R) 暗号化もオプションとして追加されたため、暗号化パフォーマンスがさらに向上しています。Cryptico (デンマークのデータ セキュリティ会社) が開発した CryptiCore 暗号化およびデータ認証の技術は、ソフトウェア ベースであり、プロセッサを完全に最適化して、他の暗号化ソフトウェアやデータ認証ソフトウェアに比べてはるかに高速な処理を実現します。

▼Cryptico 社
http://www.cryptico.com/

CryptiCore 暗号化は、主要な国際会議で提示され、そのフィールドの多くの専門家により支持されている Rabbit ストリーム暗号に基づいています。

パフォーマンス面での Secure Shell プロトコルの改善は、FIPS 140-2 暗号などサポートされているすべての暗号で実感できますが、CryptiCore を使用すると、スループットがさらに向上し、データ インテンシブな環境に最適です。

●プラグインのサポート

独自の暗号化手法やめったに使用しない暗号化手法を簡単に統合できるように、SSH G3 は、プラグイン ベースのアーキテクチャをクライアント側とサーバー側の両方に実装しています。たとえば、暗号、MAC、圧縮アルゴリズム、キー交換アルゴリズム、および新しい認証メソッドを、プラグインとして製品に統合できます。実際、同じプラグイン メカニズムが、サポート対象の組み込み暗号化アルゴリズムを SSH G3 に実装するために使われています。プラグイン ベースのこの新しいアーキテクチャにより、暗号アクセラレータや、他社製のその他の暗号モジュールに対するサポートを簡単に追加できます。

==================================================================
◆◆[お知らせ] Networld + Interop で特別キャンペーン実施! ◆◆
http://www.jp.ssh.com/company/events/
==================================================================
個人情報保護法が施行された今、情報漏洩防止の重要性がますます高まってきています。6月8日〜10日に開催される Networld + InteropTokyo においてSSH社の販売代理店 株式会社ディアイティのブース、「#7M08」内で、CRM や ERP などの企業用アプリケーションのデータ通信を保護するエンドツーエンド エンタープライズ セキュリティソリューションをご紹介いたします。
★SSH Tectia 「セキュアなアプリケーション接続」ソリューションをご存知ですか?
★ブースにお越しいただいたお客様には、特別キャンペーン価格をご紹介致しますので、是非お立ち寄りください!
─>> http://www.jp.ssh.com/company/events/
────────────────────────────────
SSH コミュニケーションズ・セキュリティ株式会社
お問い合わせ 営業部 電話:03-3459-6830/メール: sales.jp@ssh.com
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  8. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×