【ITニュース解説】Not a VPN: A Two-Peer RAM-Only Tunnel (Cluddy)

インターネット上で安全に情報をやり取りするための技術として、多くの人がVPN（Virtual Private Network）を思い浮かべるだろう。しかし、VPNとは異なるアプローチで、より高い秘匿性とセキュリティを目指す新しい技術「Cluddy」が登場した。これは、特定の二者間だけでデータを交換するための、暗号化された専用トンネルを構築する仕組みである。システムエンジニアを目指す上で、このような新しいセキュリティ技術の設計思想を理解することは非常に重要だ。

まず、CluddyとVPNの根本的な違いを理解する必要がある。VPNは、利用者の全てのインターネット通信を暗号化し、VPN事業者が運営するサーバーを経由させることで、利用者のIPアドレスを隠蔽し、通信経路の安全性を確保する。これにより、公衆Wi-Fiなど安全でないネットワーク上でも安心して通信できる。しかし、VPNはあくまで通信経路を保護するものであり、通信相手のサービス、例えばSNSやクラウドストレージが、受け取ったデータを保存し、利用者のアカウントと紐付けることまでは防げない。つまり、誰がどこからアクセスしているかは隠せるが、何をやり取りしたかという記録はサービス側に残る可能性がある。

一方、Cluddyが解決しようとするのは、この「データが記録として残る」という問題である。Cluddyは全ての通信を対象にするのではなく、特定の相手と交換したいデータのためだけに、一時的な専用トンネルを構築する。このトンネルを通るデータは、送信者と受信者のデバイス間、すなわちエンドツーエンドで強力に暗号化される。暗号化と復号に使う「鍵」は通信を行う二者だけが持ち、トンネルの中継点となるサーバーですらデータの中身を一切見ることはできない。

Cluddyの最も革新的な特徴は、データがサーバーのディスクに一切書き込まれない「RAM-Only」という設計にある。サーバーは、利用者が自身で契約したVPS（Virtual Private Server）を利用する。データはこのVPS上を通過するが、ハードディスクやSSDといった永続的な記憶装置には保存されず、コンピュータの電源が切れると内容が消える揮発性メモリであるRAM上だけで一時的に処理される。データは相手に届けられると、すぐにRAM上から消去される。万が一、どちらかの通信が途切れたり、定められたセッション時間が終了したりした場合も、メモリ上のデータは即座に破棄される。これにより、サーバー上にデータが一切残らないという極めて高いレベルの機密性を実現している。さらに、Cluddyの仕組みにはユーザーアカウントやプロファイルといった概念が存在しないため、データが特定の個人に紐付けられて追跡される心配もない。

この仕組みは、信頼の置き方、すなわちトラストモデルにも影響を与える。VPNでは、利用者はVPN事業者という第三者を信頼する必要がある。しかしCluddyでは、信頼の対象は第三者の事業者ではなく、トンネルが設置されるVPSを管理する自分自身、または通信相手となる。つまり、自分たちの管理下にあるサーバーで、自分たちの管理する鍵を使い、データ交換を行う。セキュリティの責任は、外部のサービスではなく、通信の当事者が負うことになる。

Cluddyのセッションは、意図的に機能が制限されている。通信は常に一対一に限定され、第三者が会話に割り込むことはできない設計になっている。また、セッションにはデフォルトで30分という時間制限が設けられており、時間を超過するとトンネルは自動的に閉鎖される。これにより、トンネルが意図せず開いたままになるリスクを低減している。中継役のサーバーは、暗号化されたデータをただ右から左へ受け流すだけの、意図的に単純化された役割に徹する。このように機能を絞り、仕組みをシンプルに保つことは、セキュリティホールが生まれる可能性を減らし、システム全体の堅牢性を高めるための重要な設計原則である。

システムエンジニアを目指す者にとって、Cluddyは単なる新しいツールではなく、セキュリティとシステムの設計思想を学ぶ上で示唆に富んだ事例と言える。データの所有権は誰にあるべきか、信頼の境界をどこに設定するべきか、そして意図的に機能を制限することでいかにセキュリティを高めるかといった、システムの根幹に関わる問いを投げかけている。現在はテキストデータの転送が主だが、将来的にはファイル転送などへの応用も計画されており、機密情報を特定の相手と安全に、かつ痕跡を残さずにやり取りしたいというニーズに応える技術として注目されるだろう。