QUICとは何ですか?プロトコルを理解する

プロトコルは、インターネットを介して 2 つのデバイス間でデータを転送する方法を定義します。また、クライアントと応答サーバーの間でプロトコルを一致させる必要があるため、業界では広く採用されているいくつかの定番プロトコルに大きく依存してきました。最も長い歴史を持つプロトコルには TCP と UDP があり、どちらも数十年にわたって使用されています。

この状況は 2013 年に変わりました。Google が新しいアプローチの試験を開始したのです。QUIC プロトコルは、Google アプリケーションが従来のプロトコルよりも高速かつプロトコル遅延を少なくしてデータを転送する方法を提供します。

詳細についてはこちら デモをリクエスト

QUICとは何ですか?プロトコルを理解する

QUIC プロトコルはどのように機能しますか?

QUIC は、 UDP上に構築された暗号化されたトランスポート プロトコルです。UDP の速度と TLS などのプロトコルのセキュリティを組み合わせて、高速で安全なインターネット接続を効果的に作成するように設計されています。

認証と暗号化がTLSなどの上位層ソリューションによって管理される従来のプロトコルとは異なり、QUIC はこれらの機能をトランスポート層に直接統合します。

これにより、QUIC は最新の Web トラフィックに対してより高速かつ効率的になります。

  • これは、迅速なハンドシェイク プロセスを開始することで機能し、安全な接続を迅速に確立できます。
  • ハンドシェイクが完了すると、QUIC は複数の暗号化されたデータ ストリームを同時にサーバーに送信し、待ち時間を短縮してパフォーマンスを向上させます。

QUIC は、認証と暗号化の両方をプロトコル自体に組み込むことで、UDP の軽量な利点を維持しながら、安全な通信を合理化します。

Fast Handshake

ハンドシェイクは、あらゆるネットワーク プロトコルの重要な部分です。QUIC は、 TCPで使用される従来の 3 ウェイ ハンドシェイクを、TLS 1.3 ハンドシェイクの認証および暗号化プロセスに置き換えます。

詳しく説明すると、典型的な TCP 接続には次のものが含まれます。

  • SYNパケットを送信するクライアント
  • サーバーはSYN -ACKパケットで応答する
  • クライアントがACKパケットで接続を確定する

データを送信する前に、この 3 段階のプロセスを実行する必要があります。

QUIC は UDP 上で動作することでこの要件を排除します。UDP では同様に接続を確立する必要がないため、QUIC では UDP 互換リンクを介してデータを即時に送信できるため、待ち時間が短縮されます。

場合によっては、QUIC は最初の接続サイクル中にデータを送信できます。これは0-RTT (ゼロ ラウンドトリップ時間)と呼ばれます。サーバーがクライアントとの接続を以前にキャッシュしている場合に可能です。しかし、0-RTT は速度を向上させますが、必ずしも最も安全なオプションではなく、適切に処理されない場合、データがリプレイ攻撃にさらされる可能性があります。

暗号化

QUIC では、高速ハンドシェイクに加えて、組み込みの暗号化が導入されています。従来、TCP では、暗号化は TLS プロトコルを通じて個別に処理されており、バージョンと暗号スイートをネゴシエートするために独自のハンドシェイクが必要でした。このハンドシェイクにより、セッションで使用される暗号化アルゴリズムとプロトコルが確立されました。

QUIC は UDP 上に構築されているため、合理化されたアーキテクチャに適合するように従来の TLS ハンドシェイクを変更します。QUIC は、次の 2 つの特定のコンポーネントでラップされたClient Hello (CHLO)を送信することでこれを実現します。

  • 初期パケット
  • 暗号フレーム

このパッケージ化により、クライアントが送信する最初の UDP データグラム内に暗号化ハンドシェイクを含めることができます。その結果、トランスポートと暗号化のハンドシェイクが 1 つの効率的なステップに統合されます。この最初の交換の後、QUIC は TLS 1.3 とほぼ同様に動作します。

クライアントとサーバー間のその後のすべての通信は、ハンドシェイクからのセッション キーを使用して暗号化されます。

パケット注文

QUIC は、速度は速いが信頼性が低いプロトコルとして知られている UDP をベースに構築されています。つまり、パケットがドロップされたり、順序どおりに到着しなかったりすることがあります。一方、TCP は信頼性を保証しますが、遅延が増加するという欠点があります。TCP では、1 つのストリームでエラーが発生すると、問題が解決されるまでクライアントからのすべての同時ストリームが一時停止されます。

QUIC は、データを独立したストリームに整理し、各ストリームが独自の内部パケット順序を維持するようにすることで、速度と信頼性のバランスを実現します。

しかし、QUIC は異なるストリーム間のパケット順序を強制しません。

たとえば、ストリーム Aストリーム Bという 2 つのストリームがサーバーからクライアントに転送されるとします。

  • ストリーム A。ストリーム A からのパケットが失われた場合、ストリーム A は再送信を独自に処理します。
  • ストリーム Bは中断されることなく継続し、ストリーム A の損失の影響を受けることなく転送を完了できます。

このレベルのストリームの独立性は、1 つのストリームでのパケット損失によって同じ接続を共有する他のストリームが停止する可能性があった HTTP/2 などの以前のプロトコルに対する重要な改善点です。

QUICプロトコルの課題

QUIC はすでに Google のアプリケーション データの大部分を転送していますが、世界中に分散された環境での広範な導入はまだ限られています。

主な障害の 1 つは、インターネット インフラストラクチャの変化のペースが遅いことです。TCP は 40 年以上にわたって主要なトランスポート層プロトコルであり、事実上あらゆる種類のデータを伝送できます。QUIC は、特に大陸間接続などの長距離での遅延の削減において明らかな利点がありますが、その利点は TCP の汎用性と比較すると範囲が狭いと見なされることが多いです。

Google は QUIC の導入を積極的に推進し、自社のサービス全体での開発と統合を進めてきました。しかし、これにより、多くの企業が標準やトレンドへの適応に追われることになりました。

その結果、特にインフラストラクチャが複雑であったり、レガシー システムがあったり、社内に専門知識が不足している組織にとっては、 QUIC 実装の課題は依然として大きなものとなっています。

0-RTTのリスク

キャッシュされた接続の場合、QUIC を使用すると、最初のラウンドトリップ中にデータを送信できます ( 0-RTTと呼ばれます)。このアプローチはハンドシェイクの遅延を効果的に排除しますが、顕著なセキュリティ上の懸念が生じます。

大きなリスクの 1 つは、新しい暗号化ハンドシェイクがないことです。セッション情報をキャッシュするために使用された元の接続が侵害された場合、再開された接続中に送信されたアプリケーション データも公開される可能性があります。

もう一つの懸念は、リプレイ攻撃です。0-RTT 経由で送信されたアプリケーション データは、経路上の攻撃者によって傍受され、同じサーバーに複数回再生される可能性があります。ほとんどの場合、暗号化はこの種の脅威を軽減するのに役立ちますが、0-RTT は完全な再ネゴシエーションをバイパスすることでその保護層を弱めます。

その結果、0-RTT はパフォーマンス上の利点をもたらしますが、特に機密データや高いセキュリティ要件が関係するシナリオでは慎重に使用する必要があります。

ファイアウォールの非互換性

企業のセキュリティの観点から見ると、QUIC は、特にディープ パケット インスペクションとトラフィック復号化に依存している組織にとって、さらなる課題をもたらします。

重要な問題の 1 つは、 QUIC が SSL 復号化をサポートしていないことです。SSL 復号化は、企業のファイアウォールでネットワーク トラフィックを検査して保護するためによく使用される方法です。代わりに、QUIC は独自の暗号化を使用します。これは Google のアプリケーション スイート全体に広く導入されているため、IT チームのネットワークの可視性と制御に大きな盲点が生じます。

もうひとつの課題は、QUIC の設計哲学にあります。

Google は、硬直的で老朽化した TCP インフラストラクチャとは異なり、柔軟で簡単に更新できる QUIC を構築しました。このアプローチは急速なイノベーションをサポートしますが、プロトコル レベルの変更に迅速に適応するためのファイアウォールとセキュリティ ツールも必要になります。こうした継続的な更新の必要性は、IT チームとインフラストラクチャに大きな負担をかける可能性があります。

その結果、一部のファイアウォール プロバイダーは、より成熟した互換性のあるセキュリティ ツールが利用可能になるまで、 QUIC を完全にブロックすることを推奨しています。ドキュメントの進化から実装の一貫性の欠如に至るまで、QUIC のセキュリティ上の課題は、特にエンタープライズ環境において、蓄積され続けています。

チェック・ポイントで高速ネットワークセキュリティを強化

チェック・ポイント QuantumではQUICに対応した業界トップクラスのファイアウォールです。 しかし、Quantum で ネットワーク セキュリティは、Google アプリケーションの可視性をはるかに超えるものを提供します。 SandBlastゼロデイ保護と併せて、チェック・ポイントの深い脅威認識を提供します。 これらの最先端の脅威を理解するには、 2025 年のリスク レポートをご覧ください

オンデマンドのハイパースケール インフラストラクチャは、レイテンシを低く抑え、組織のニーズの変化に合わせてシームレスなスケーラビリティを提供します。より良く、より明確な管理を実現するために、Quantum では、ネットワーク、クラウド、IoT 環境の可視性を統合する統合管理システムを提供します。

今すぐ無料デモを開始して、チェック・ポイント Quantum の全機能を体験してください。