読み方 : マックセック
MACsec
MACsecとは?
IPネットワークにおける通信の保護には「TLS」や「IPsec」が広く使われているが、これらはインターネット層やトランスポート層での保護を担う。MACsecは物理ネットワークの通信制御を司るリンク層で動作するため、上位のプロトコルの種類に関わらず、通信経路上のすべてのフレームを透過的に保護できる。個別のソフトウェア設定を変更しなくても、流れるデータ全体が自動的に保護対象となる。
MACsecの保護単位は、直接接続された二者間のリンクである。「MKA」(MACsec Key Agreement)というプロトコルで暗号鍵を交換し、送信側はフレームを暗号化して改竄検知用のタグを付加する。受信側はタグを検証し、正当性が確認できないフレームは破棄する。鍵の生成・更新は自動化されており、長期運用でも安全性を維持できる。
これらの処理はネットワーク機器のハードウェア上で実行されることが多く、通信速度への影響が小さい。IPsecのようなトンネル方式と比べてヘッダの追加量も少ないため、大量のトラフィックが流れるデータセンターや企業ネットワークでも実用的に使える。100Gbpsを超える高速回線に対応した実装も一般的になっている。
利用には機器側のMACsec対応が必要であり、すべての環境で使えるわけではない。また、保護は相対する二台のリンクごとに適用されるため、通信経路全体を一括して守るにはIPsecなど他の技術と併用する必要がある。近年では内部ネットワークへ物理的にアクセスする不正アクセスへの警戒が高まり、企業拠点間の専用線やデータセンター内の機器間接続でも導入が広がっている。
共有ボタンをタップ