利点は否定できない：Skypeブームへの対応を迫られる企業 (1/5)

　P2P（Peer-to-Peer）VoIP（Voice over IP）アプリケーションの「Skype」が爆発的な人気を獲得するとともに、IT管理者はしばしばいくつかの問題に頭を悩ませるようになった。企業におけるSkype利用には制限を設けるべきなのか。バックドアが生まれるおそれがあっても、Skypeをサポートした方がよいのだろうか。最初からシステムに組み込んで、積極的な利用を図る必要があるのだろうか。

　Skype運営母体の最近の動向に鑑みるに、企業が壁を乗り越えるための対策を立てねばならない時期が来たようだ。すなわち、Skypeを継続的に使用したいと考えている企業は、同アプリケーションを正式に導入して管理および制御を徹底し、使用しなくてもいいという企業は、Skypeを完全に遮断する方法を考案するべきなのである。

　Skypeが大きなメリットを有していることは、否定しようがない。頻繁に外出するユーザーにとって、Skypeは安価に長距離電話をかける有効な手段となる。少人数グループが会議をするのに利用すれば、簡単にコラボレーションを実現してくれる。何より使い勝手がよいし、ユーザー層も幅広い。

　2007年9月25〜26日に開催された「European IT Forum」では、Skypeのモバイルおよびテレコムサービス担当副社長のマイケル・ジャクソン氏が、同アプリケーションのユーザー数を1億1300万人と発表し、そのうち30％が仕事に使っていることを明らかにした。これだけユーザーが存在しているとなると、自社のコーポレートネットワーク上でこっそりSkypeを使用している社員がいても、何ら不思議ではない。

　ところが、これがトラブルの原因になる場合がある。Skypeはその性質上、ネットワークがどのような状態にあっても、そこで機能するようになっている。Skypeプロトコルは非常によくできたプロトコルであり、未知のIPアドレスブロックやネットワークプロトコルに対するユーザーからのアクセスを遮断するだけでは、接続を拒否することはできないのだ。

　また、高位番号のTCPもしくはUDP（User Datagram Protocol）ポートを使用するSkypeのトラフィックは、ネットワーク外へ漏えいしやすい。通信できないと、最終手段として、Webトラフィックに一般的に使われるポート80番および443番を用いるという特徴もある。

　送信されてくるトラフィックを遮断したり、NAT（Network Address Translation）を使用したりするファイアウォールでも、Skypeプロトコルをとどめることはできない。Skypeは、クライアントの起動と同時に、Skypeネットワーク内のスーパーノードとのセッションを開始する。

　インターネットからSkypeクライアントへの接続が不可能なときは、このスーパーノードがオープンコネクション経由でクライアントに通話着信を知らせる。また、受信者が発信者に直接コンタクトを取れなかった場合、スーパーノードもしくはリレーエージェントが両者間のプロキシとして機能する。

　こうしたスーパーノードプロキシは、インターネット上のあらゆる場所に存在することが可能だ。Skypeのエンドユーザー向け使用許諾契約書（EULA）第4条には、同アプリケーションはユーザーのコンピュータプロセッサおよびネットワークリソースを任意に利用し、パフォーマンスを向上させるものとすると書かれている。十分な処理能力と自由にできるネットワーク帯域を持つすべてのSkypeクライアントが、スーパーノードもしくはリレーエージェントになる可能性があるのだ。

　Skype通信は、ほぼ例外なくAES（Advanced Encryption Standard）による強力な暗号化が施され、セットアップトラフィックもRC4暗号化で解読不能になっているケースが多いため、そうしたプロキシがほかのトラフィックのやり取りを解読することはできない。

　しかしこれは、ネットワーク管理者もまた、暗号化されたストリームに含まれているデータの詳細を把握できないという意味になる。Skypeはファイル転送機能を備えているので、機密情報が漏えいする危険も十分考えられる。

　さらにSkypeは、デスクトップファイアウォールの設定を調整し、動作の最適化を試みる。ファイアウォールの規定によりSkype使用が無効になっていると、次の起動時に自らを制限対象から外そうとするのだ（ただし、ユーザーがファイアウォール設定の変更を許可している場合のみ）。