学校が安全なデジタル環境の構築に努める中、Encrypted Client Hello (ECH) や DNS over HTTPS (DoH) などの新しいプライバシー テクノロジーが、従来のコンテンツ フィルタリング方法に課題をもたらしています。これらのプライバシー プロトコルは、ユーザーのプライバシーを強化するように設計されていますが、オンライン アクティビティの可視性も制限します。これは、安全で集中的なオンライン学習スペースを維持しようとしている K-12 管理者にとって潜在的な障害となります。
こうしたプライバシーの進歩は多くのフィルタリング ソリューションにとって課題となりますが、Lightspeed Systems のコンテンツ フィルタリングに対する独自のアプローチにより、ECH および DoH プロトコルが学校に安全で信頼性の高い Web アクセスを提供する能力を妨げないことが保証されます。ここでは、ECH および DoH が学校のフィルタリングにどのような意味を持つのか、また、Lightspeed の高度なフィルタリング方法が新しいプライバシー標準に対してどのように強力で途切れることのない保護を提供するのかについて説明します。
暗号化されたクライアント Hello (ECH) について
ECH は、TLS (トランスポート層セキュリティ) ハンドシェイクの最初の「クライアント ハロー」ステップを暗号化することでユーザーのプライバシーを保護する新しい標準です。このステップでは通常、ユーザーがアクセスしようとしているドメイン名が明らかになり、フィルタリング ソリューションでコンテンツを監視およびブロックできるようになります。ただし、ECH はこのドメイン情報を隠蔽するため、パケット フィルタやインライン検査フィルタなど、このステップを傍受するシステムでは、特定の Web サイトを識別してフィルタリングすることが困難になります。
DNS over HTTPS (DoH) がフィルタリングに及ぼす影響
DoH は、ドメイン名を IP アドレスに変換するクエリである DNS リクエストを隠すもう 1 つのプライバシー プロトコルです。DoH は DNS トラフィックを暗号化することで、従来の DNS ベースのフィルターがユーザーのリクエストの詳細を読み取るのを防ぎ、学校が特定の Web サイトへのアクセスを制限することを困難にします。
ECH と DoH はどちらもプライバシーを保護するように設計されていますが、従来のフィルタリング方法、特に中間者 (MITM) プロキシを使用しない方法にとって大きな障害となります。
ECHとDoHが学校フィルターに課す課題
多くの学校向けフィルタリング ソリューションでは、ECH と DoH によってその有効性が大幅に低下します。
- パケット フィルタリング ソリューション: ECH により、パケット フィルタリング システム (ファイアウォールでよく使用される) がドメインの詳細を確認することが困難になります。これらのシステムは通常、暗号化されていない情報を検査して、アクセスされている Web サイトを特定するためです。
- インライン フィルターとファイアウォール: パケット スニッフィングと SNI (Server Name Indication) の詳細に基づいて Web サイトのアドレスを決定するフィルターは、ECH によって可視性が失われます。この情報が隠されているため、このようなソリューションでは特定のコンテンツを効果的に監視またはブロックすることはできません。
- DNS ベースのフィルター: DoH は DNS リクエストを暗号化することで DNS ベースのフィルターの有効性を制限できるため、学校が不適切な Web サイトへのアクセスを監視または制限することが困難になります。
Lightspeed Systems: プライバシー プロトコルに耐えるように設計されたフィルタリング ソリューション
多くの従来のシステムとは異なり、Lightspeed Systems は ECH と DoH がもたらすプライバシーの進歩に対応しています。その仕組みは次のとおりです。
- Lightspeed の TLS ハンドシェイク プロセス: Lightspeed Systems は、ユーザーに代わって TLS ハンドシェイクを完了し、Web サーバーから見て実質的にユーザーになります。このアプローチにより、ECH が設定されている場合でも、要求されたドメインの可視性が維持され、Lightspeed は中断することなく効果的にフィルタリングを継続できます。
- ECH に依存しない DNS ベースのフィルタリング: SmartShield などのソリューションを含む Lightspeed の DNS フィルターは、TLS レイヤーとは独立して動作し、パケット検査ではなく DNS 要求に重点を置いています。つまり、ECH のクライアント ハロー ステージの暗号化はこれらのフィルターに影響を与えず、学校は信頼性が高く安全なフィルタリングを維持できます。
- DNS over HTTPS (DoH) のブロック: DoH は DNS リクエストを隠すことができるため、Lightspeed は DoH 接続を積極的に防止またはブロックします。これにより、Lightspeed は DNS ベースのフィルターがユーザー リクエストの可視性を維持し、管理者がオンライン コンテンツを効果的に制御および監視できるようにします。
これが米国の学区にとってなぜ重要なのか
プライバシー技術が進化し続ける中、学区は生徒の安全を損なうことなくこれらの変化に適応できるフィルタリング ソリューションを備える必要があります。Lightspeed のフィルタリング方法は、ECH や DoH などのプライバシーの進歩に追随するだけでなく、オンライン コンテンツに対する信頼性の高い制御を維持し、オンライン学習中に生徒が安全に集中できるようにします。
自信を持って前進する
Lightspeed Systems では、プライバシーとセキュリティが進化していることを理解しており、将来を見据えたフィルタリング ソリューションを学区に提供することに引き続き尽力しています。コンテンツ フィルタリングに対する当社の高度なアプローチにより、学校は新しいプライバシー プロトコルをナビゲートし、生徒を効果的に保護するために必要なツールを利用できると確信できます。
Lightspeed Systems が ECH、DoH、その他のプライバシーの進歩に対応して学区をどのようにサポートできるかについて詳しくは、当社にお問い合わせいただくか、リソース ライブラリをご覧ください。当社と協力することで、すべての生徒にとって安全で生産性の高いデジタル環境を維持できます。
