DPI（ディープパケットインスペクション） とは？

通常のパケットフィルタリングは送信元・宛先のIPアドレスやポート番号だけを見るんだ。DPIはさらに踏み込んで、パケットのデータ部分（ペイロード）の中身まで解析するよ。

既知のマルウェアや攻撃パターンをシグネチャとしてデータベース化しておいて、流れてくるパケットの内容と照合するんだよ。一致したら不審と判断してブロックしたりアラートを出したりするんだ。

そうだよ！アプリケーションの通信パターンを識別して、YouTube・P2P・ゲームといった種別ごとに帯域を制限したり優先順位をつけたりできるんだ。これをアプリケーションアウェアなトラフィック制御というよ。

鋭いね。暗号化されたペイロードはDPIでは読めないんだ。ただし、TLSハンドシェイク時のSNI（サーバ名）やJA3フィンガープリントという暗号化特性の情報から、ある程度の識別はできるよ。

通信内容を深く見るから、プライバシー侵害や通信の秘密の観点で論争があるよ。企業の社内ネットワーク管理やISPのQoSでは広く使われているけど、一般ユーザの通信を無断で検査することは多くの国で規制されているんだ。

あるよ！ステートレスDPIは1パケットずつ独立して検査するから高速だけど、複数パケットにまたがる攻撃は見逃しやすい。ステートフルDPIはTCPセッション全体を追跡して文脈ごと分析するから精度が高くなるんだ。ただしその分メモリを多く消費するよ。

DPIは「パケットの中身を見る技術」そのもので、IDSやIPSはDPIを活用した「システム」だよ。IDSはDetection（検知のみ）、IPSはPrevention（検知＋自動遮断）という違いがある。DPIが目で見る能力、IDS/IPSはその情報を使って判断・行動する警備員のイメージだね。

代表的なのはP2Pファイル共有の帯域制限だよ。BitTorrentなどの通信パターンをDPIで識別して、ネットワーク全体の輻輳を防ぐために速度を絞るんだ。ただし「特定のアプリを差別している」として通信の中立性（ネットワーク中立性）の議論と常にセットになる問題でもあるよ。

そうだよ。GFWはDPIを大規模に活用して、VPNの通信パターンやTorのトラフィックを識別・ブロックしているんだ。単純なIPブロックだけでなく通信の特徴量を分析するから、迂回がどんどん難しくなっている。国家レベルのインターネット検閲の代表例だね。

EUのGDPRでは通信内容の処理に厳格な制限があって、ISPが無断でDPIを使うと違反になるケースがあるよ。日本でも電気通信事業法に「通信の秘密」の保護規定があって、ISPが正当理由なく通信内容を検査することは制限されているんだ。企業の社内通信なら社員への事前告知が重要だよ。

企業ネットワークでよく使われる仕組みで、ファイアウォールがクライアントとサーバの間に入ってTLS通信を一度復号し、検査してから再暗号化して転送するんだ。いわゆる「中間者」の形でDPIを実現するよ。社員のPCに企業の証明書をインストールして成立させる構成が多いんだ。

Palo Alto NetworksのNGFW（次世代ファイアウォール）、FortinetのFortiGate、CiscoのFirepowerが代表格だよ。これらはDPIをベースにアプリケーション識別・マルウェア検知・URLフィルタリングをまとめて提供するんだ。クラウド型ではZscalerやCrowdStrikeのようなゼロトラスト対応製品もDPIの考え方を取り入れているよ。

変わってきているよ。ゼロトラストでは「ネットワーク内に入っても信頼しない」という考え方だから、境界型のDPIだけでは不十分になってきた。エンドポイントでのEDR・クラウドプロキシでのCASB・アイデンティティ管理を組み合わせて、DPIはその中の一要素として使うという位置づけに変わってきているんだ。