【特集記事】見落とされがちな「常時SSL化」の死角、どう対策する?

出典元:TechTargetジャパン 2017年01月10日掲載記事より転載。
本記事はTechTargetジャパンの許諾を得て掲載しています。

「常時SSL化」が浸透しつつある中、逆にここを隠れみのにして、通信データの監視を巧妙にくぐり抜けようとする攻撃者がいる。どう対策すればいいのだろうか。

SSL暗号化がインターネット通信のスタンダードに

Webサイト全体を「SSL(Secure Socket Layer)/TLS(Transport Layer Security)」暗号化(以下、SSL暗号化)する「常時SSL化」は、近年のサイバー犯罪の高度化を受けて、多くのサービスで採用されるようになってきている。「Google」や「Facebook」「Twitter」などのグローバルサイトの他、国内でも「Yahoo! JAPAN」が常時SSL化への対応を進めている。Googleが常時SSL化サイトの優遇表示を発表したり、次世代プロトコルのHTTP/2でSSL暗号化がほぼ必須になったりと、業界の後押しもあるため、今後はさらに導入が進むことだろう。

また昨今話題のIoT(モノのインターネット)では、外部のデバイスからデータを収集してセンター側で集約する。当然のことながら、盗聴やなりすましを防ぐ必要があるため、小型のIoTデバイスでも処理可能なSSL暗号化技術も登場している。

さらに、企業が遠隔地のデータセンターなどを利用する際には、SSL暗号化を用いたVPNを利用して、安全性を確保することが一般的である。

中身が見えなければ検査もできない

SSL暗号化の最大のポイントは、言うまでもなく通信内容の秘匿性にある。復号が極めて困難で、サイバー犯罪者が通信の内容を傍受できないため、ユーザーの安全性を確保できる優れた技術だ。ところが、特に企業のセキュリティ対策の観点では、この秘匿性こそが大きな問題になる。

ttyo_201611networld_watabe.jpg「一般的なセキュリティ対策は、通信やファイルの内容をチェックして、悪意のあるデータやプログラムが混じっていないかどうかを分析します。SSL暗号化によって通信内容が分からなくなるということは、セキュリティチェックもできないということなのです」と、ネットワールド マーケティング本部ソリューションマーケティング部クラウド&セキュリティソリューション課課長の渡部 隆氏は述べる。

特に問題なのは、社内のシステムに感染したマルウェアの攻撃活動、あるいは社員のミスや故意による情報漏えいを防ぐことが難しいということだ。昨今では、FacebookやTwitterなどのSNSをマーケティングやPRに利用する企業も多く、社員の利用を一概に禁止することもしにくい。しかし、こうしたSNSなどに機密ファイルをアップロードされてしまえば、SSL暗号化通信を精査できないために問題点が露呈しないことになる。

SSL暗号化通信が「攻撃の隠れみの」になっている

もちろん、既存のセキュリティゲートウェイ製品などでも、SSL通信を復号して解析する機能を有したものもある。しかし、SSLの復号は非常に負荷が高く、特にソフトウェア型の製品では十分なパフォーマンスを得られないケースも少なくない。SSL通信だけは、“通信の解析”を得意とする製品・技術に任せるのが得策だ。

そこでお薦めしたいのが、ネットワールドが提供する「F5 BIG-IP LTM+SSL Forward Proxyライセンス」である。

通信の解析を専門とするF5 BIG-IP

F5ネットワークスが開発した「F5 BIG-IP」(以下、BIG-IP)は、ロードバランサー(負荷分散装置)としてよく知られている製品だ。必要に応じて最適なサーバなどに通信を振り分ける負荷分散では、通信の内容を高速に解析する能力が求められる。故に、BIG-IPはこうした解析のためにOSから最適化した専門ハードウェアとして開発されている。特にSSL通信の解析・可視化には専用のASIC(特定用途向けIC)を搭載しているため、極めて高速に復号/暗号化処理を行うことが可能なのだ。

BIG-IPの高速SSL処理を利用

この機能を活用したF5 BIG-IP SSL Forward Proxyを導入することで、次世代ファイアウォールやIPS、URLフィルタリング、WAF、標的型攻撃対策ゲートウェイなどの既存のセキュリティシステムと連係し、暗号化された通信を高速に検査できるようになる。これまでパフォーマンス低下を懸念してSSL解析を諦めていたソフトウェア型の製品も、最大限に活用できるようになるというわけだ。

ttyo_201611networld_yamada.jpg「BIG-IP SSL Forward Proxyの優れた点は、ユーザーの環境や条件に合わせて柔軟に導入構成を組めるところにあります。既存のゲートウェイ装置を2台のBIG-IPで挟む“サンドイッチ構成”は、極めて高いパフォーマンスを求めるケースに適します。1台のBIG-IPで論理的にゲートウェイを挟み込む“ブリート構成”であれば、導入コストを抑えることができます。もちろん、ログアナライザーなどにデータのみを提供する“ICAP連係”も可能です」と、ネットワールド SI技術本部インフラソリューション技術部ネットワークソリューション課システムエンジニアの山田晋吾氏は述べる。

こうした柔軟性のおかげで、ネットワーク構成に与える影響を最小限に抑えることができる。既存のセキュリティゲートウェイもそのまま利用できるため、「既存資産をムダにしない」(山田氏)ことが、BIG-IPの最大の特長といえるだろう。

アウトバンドSSL Inspection校正

もちろん既存のセキュリティ装置でも、上位機種にアップグレードすることでSSL通信解析に対応することは可能かもしれない。その時は、ぜひBIG-IPの導入費用やパフォーマンスを比べていただきたい。そして、BIG-IPだからこそ実現できるセキュリティ性能にも注目してほしい。

「一般的なWebサイトでは、SSL暗号化通信にはHTTPS(ポート443)を用いますが、サイバー犯罪者が別のポート番号を悪用するケースは珍しくないのです。BIG-IP SSL Forward Proxyであれば、ポート443以外のSSL通信に対応し、セキュリティ装置が正しく検査できるように処理します」と山田氏が自信を持って語るように、BIG-IP SSL Forward Proxyは、ネットワークを知り尽くしたBIG-IPだからこそ実現可能なゲートウェイセキュリティといえるだろう。

単なる解析装置ではないから

既に述べたように、BIG-IPはその強力な通信解析能力を生かして、分散型サービス拒否攻撃(DDoS攻撃)対策やアプリケーション最適化、SSL VPN終端や回線負荷分散などにも利用することができる。もしセキュリティ対策やその他の機能に不足を感じているのであれば、機器を追加することなくネットワークを強化できるのは大きなメリットだ。

また、Microsoft「Office 365」の通信セッション数増加の問題に対応し、ネットワークやプロキシの負荷を軽減できるようになっていたり、「BIG-IP APM(Access Policy Manager)」を使えば認証連携も可能になっていたりするので、Office 365のようなクラウドアプリケーションへのアクセスを最適化することも可能になってくる。 「今後もネットワールドでは、F5ネットワークスの優れた技術と最新のBIG-IPが、最適な形でユーザー企業に届くよう、パートナーとともに体制を強化していきます」と渡部氏は語る。

提供:株式会社ネットワールド
アイティメディア営業企画/制作:TechTargetジャパン編集部

PAGE TOP