TOPセキュリティ > シンプルで堅牢な高速VPN、WireGuard(上)

セキュリティ

シンプルで堅牢な高速VPN、WireGuard(上)

2020/01/20

Lucian Constantin CSO

 WireGuardは、シンプルさと使いやすさを特徴とするVPNだ。適切に検証された最新の暗号化プロトコルとアルゴリズムを使って、容易にデータを防御できる。もともとはLinuxカーネル向けに開発されたが、現在ではWindows、macOS、BSD、iOS、Androidでも利用できる。

 企業にとってVPNは重要だ。本社と支店のネットワークをつないだり、外出中の社員が社内向けの業務アプリケーションを利用したり、クラウドサーバーとオンプレミスサーバーとを同じネットワークとして接続したりといったシーンでは、VPNの活用が欠かせない。

 だが、既存のVPNソリューションは、当初の設計から長い年月が経過したものも多く、速度がかなり遅かったり、複雑化が進んでいたりといった点で難がある。こうした背景から、セキュアでシンプルなWireGuardが登場した。

 セキュリティ研究者でカーネル開発者のJason Donenfeld氏がWireGuardを考案したのは2017年のこと。ペネトレーションテストに使えてステルス性があるトラフィックトンネリングソリューションが必要となったのが契機だった。既存の選択肢を探っていけばいくほど、IPsecやOpenVPNによるトンネリングではパフォーマンスが不十分で、適切な構成や管理も難しいとの思いが強まった。

 そこで同氏は、まったく新しいVPNプロトコルの構想と実装に乗り出した。他のトンネリング技術は、さまざまな要素を設計に取り入れたことでプロジェクトが複雑になり、コードベースが巨大化して、設定項目も膨れ上がったことから、その轍を踏まないようなプロトコルを考えた。

暗号化方式の構成

 WireGuardの特徴の1つは、クリプトアジリティを排除し、暗号化、鍵交換、ハッシュ化のアルゴリズムに複数の選択肢を用意するという発想をなくしたことにある。他のVPN技術では、こうした面が環境の不安定化につながっていた。代わりに、WireGuardのプロトコルは、綿密なテストとピアレビューをへた最新の暗号プリミティブを強固に組み合わせた暗号化方式をデフォルトで適用し、ユーザーの変更や誤設定が起こらないようにする。使用している暗号プリミティブで重大な脆弱性が見つかった場合には、新しいバージョンのプロトコルがリリースされる。ピア間でバージョンのネゴシエーションを行う仕組みもある。

↑ページ先頭へ