VPNの脆弱性に関する不安が広がっています。ZPAの60日間無料トライアルを利用して、VPNからの移行のメリットをお確かめください。

エキスパートに相談する

SSL復号とは

SSL復号は、完全なSSLインスペクションの流れの一環として、暗号化されたトラフィックのスクランブルを解除してサイバー脅威を確認するプロセスです。現在、大半のWebトラフィックが暗号化されているため、SSL復号は現代の組織にとって重要なネットワーク セキュリティ機能となっています。一部のサイバーセキュリティ アナリストは、マルウェアの90%以上が暗号化されたチャネルに潜んでいる可能性があると推定しています。

レポート:暗号化された攻撃の現状を理解

SSL復号が重要な理由

クラウドとSaaSアプリの普及に伴い、特定のファイルやデータの文字列がある時点でインターネットを通過する可能性が高くなっています。そして、そのデータが社外秘または機密事項である場合、標的にされる可能性があるため、ユーザーとデータの安全性を確保するのに、暗号化は非常に重要な役割を果たします。現在のほとんどのブラウザー、Webサイト、クラウド アプリは、送信データを暗号化し、暗号化された接続を介してデータをやり取りしています。

暗号化で機密データを隠せるということは、脅威自体もまた同じように隠すことができるのです。そのため、効果的なSSL復号も同様に不可欠です。その理由は、復号されたトラフィックの内容を完全に検査したうえで、ブロックまたは再暗号化してトラフィックを続行させることができるからです。

SSLとTLSの比較

セキュア ソケット レイヤー(SSL)とトランスポート レイヤー セキュリティ(TLS)は、どちらも2つのポイント間のデータの暗号化と送信を制御する暗号化プロトコルです。では、両者の違いは何でしょうか?

現在は存続していないNetscapeが1990年代にSSLを開発し、1996年の後半にSSL3.0をリリースしました。SSL3.0の改良版に基づくTLS 1.0は、1999年に登場しました。2018年にインターネット技術標準化委員会(IETF)によってリリースされたTLS 1.3は、本記事の執筆時点で最も新しく安全なバージョンです。現在、SSLは開発もサポートもされておらず、2015年にIETFは脆弱性(例:中間者攻撃に対する脆弱性)や重要なセキュリティ機能の欠如を理由に、SSLのすべてのバージョンは非推奨であると発表しました。

このように、何十年にもわたって変化してきたSSLとTLSですが、技術的な用語として厳密に使われる場合を除けば、暗号プロトコルは一括りに「SSL」と表現されることも少なくありません。つまり、SSL、TLS、SSL/TLS、そしてHTTPSは、多くの場合すべて同じものを意味しています。本記事では、必要に応じてそれぞれを明確に区別します。

SSL復号のメリット

SSL復号とSSLインスペクションを実装することで、エンドユーザー、顧客、データを安全に保ち、次のことが可能になります。

  • 隠れたマルウェアを発見し、ハッカーが防御をすり抜けるのを阻止することで、データ漏洩を防止する
  • 従業員が意図的または偶然に外部に送信している内容を把握する
  • 規制コンプライアンス要件に準拠し、従業員が機密データを危険にさらさないように徹底する
  • 組織全体のセキュリティを維持できる多層防御戦略をサポートする

2022年10月~2023年9月の間に、Zscalerのクラウドは暗号化トラフィック(SSL/TLS)に埋め込まれた298億件の攻撃をブロックしました。これは前年比24.3%の増加で、2022年度の前年比増加率(20%)を上回る結果となりました。

Zscaler ThreatlabZ

SSL復号の必要性

暗号化の使用が増えているにもかかわらず、多くの組織は依然としてSSL/TLSトラフィックの一部のみを検査し、コンテンツ配信ネットワーク(CDN)や特定の「信頼できる」サイトからのトラフィックは検査対象としていません。これは、以下の理由から高リスクになります。

  • Webページは簡単に書き換えできる。複数のソースから取得した何百ものオブジェクトを表示するものがありますが、そのそれぞれが脅威となる可能性があり、ソースに関わらず信頼できないものとみなす必要があります。
  • マルウェアの作成者は、不正プログラムを隠すために暗号化を使用する。現在、世界中に100以上の認証局があり、有効なSSL証明書を簡単かつ安価に取得できるようになっています。
  • ほとんどのトラフィックは暗号化されている。Zscalerのクラウドが処理するトラフィックの約70%は常に暗号化されているため、SSLトラフィックを復号する機能は非常に重要です。

では、なぜすべての組織がこれを実践しないのでしょうか?その理由は明白で、SSLトラフィックの復号、検査、再暗号化には多くの計算が必要であり、適切な技術がなければ、ネットワークのパフォーマンスに壊滅的な影響を与える可能性があるからです。ほとんどの組織にとって、ビジネスやワークフローを中断させてしまうような事態は大きな痛手となるため、処理要求に対応しきれないアプライアンスによる検査は回避するしかないのです。

SSL復号の仕組み

SSL復号とSSLインスペクションには異なるアプローチがありますが、ここでは最も一般的なものとその主な特徴を紹介します。

SSLインスペクションの方法

1

  • ターミナル アクセス ポイント(TAP)モード

    シンプルなハードウェア デバイスが、すべてのネットワーク トラフィックをコピーし、SSLインスペクションを含むオフライン分析を実行します。

  • 次世代ファイアウォール(NGFW)

    ネットワーク接続がパケットレベルの可視性のみでNGFWを介してストリーミングされるため、脅威検出の機能が制限されます。

  • プロキシ

    クライアント/サーバー間に2つの独立した接続が作成され、ネットワーク フローとセッションがすべて検査されます。

2

  • ターミナル アクセス ポイント(TAP)モード

    データを失うことなく、すべてのトラフィックがフル ライン レートでコピーされるようにするには、高価なハードウェア(10 GネットワークTAPなど)が必要です。

  • 次世代ファイアウォール(NGFW)

    NGFWはマルウェアのごく一部しか認識しないため、断片的な配信を許可します。また、追加のプロキシ機能が必要であり、脅威防御などの重要な機能を有効にすると、パフォーマンスが低下する傾向があります。

  • プロキシ

    オブジェクト全体を再構成してスキャンできるため、サンドボックスやDLPなどの追加の脅威検出エンジンによるスキャンが可能になります。

3

  • ターミナル アクセス ポイント(TAP)モード

    SSLセッションごとに新しいキーを必要とする「完全な前方秘匿」によって、遡及的なSSL検査はもはや機能しません。

  • 次世代ファイアウォール(NGFW)

    TLS 1.3暗号のより高いパフォーマンスとスケールの要件により、パフォーマンスが大幅に低下します。これを解決するには、ハードウェアのアップグレードが必要になります。

  • プロキシ

    サービスとして配信されるクラウド プロキシの場合、TLS 1.3のパフォーマンスとスケールのニーズを満たすために、お客様側でアプライアンスを更新する必要はありません。

SSL復号のベスト プラクティス

SSL復号とSSLインスペクション機能の実装は、組織の安全性を確保するうえで必要不可欠です。しかし、SSLインスペクションを導入する際には、技術的な面も含めて考慮すべき重要なポイントがあります。

  • 小規模な場所またはテスト環境から始めて、担当部門が機能を理解し、意図したとおりに動作することを確認してから広範囲で有効にする。
  • トラブルシューティングを減らすために、エンドユーザー通知を更新して、新しいSSLインスペクション ポリシーをユーザーに通知することを検討する。
  • (省略可)SSLインスペクション ポリシーを定義する際に、SSLトランザクションが暗号化解除されないクラウド アプリやクラウド アプリ カテゴリーのURLやURLカテゴリーのリストを作成する。
  • 最初は、アダルト コンテンツやギャンブル関連などのプライバシーや法的リスクをもたらす危険なカテゴリーのみの検査を有効にする。その後、準備ができたら、財務と医療を除くすべてのURLカテゴリーの検査を有効にしてプライバシー侵害のリスクを軽減する。
  • 組織で使用するアプリケーションのうち、証明書のピン留めを利用するアプリケーション(特定のクライアント証明書を1つだけ受け入れるもの)に注意する。これらのアプリはSSLインスペクションでは機能しない可能性があるため、復号しない対象としてリストに含めるようにする。
  • ユーザー認証を有効にして、SSLインスペクション サービスでユーザー ポリシーを適用できるようにする。

SSLインスペクションによるプライバシーへの影響

SSL復号とSSLインスペクションは、セキュリティ衛生を劇的に向上させますが、すべてを復号するわけではありません。業界、地域、対象となる法律や規制によっては、医療データや財務データなど、暗号化を解除してはならない特定のトラフィックが関与する場合もあり得ます。その場合、接続を非公開にするためのフィルターやポリシーを構成する必要があります。

法律や規制の問題以外では、通常、リスクの軽減とユーザーやデータの安全性確保のためには、可能な限り多くのSSLトラフィックを検査する必要があります。

ZscalerとSSL復号

Zscaler Zero Trust Exchange™プラットフォームは、レイテンシーや容量の制限を発生させることなく、大規模なフルSSLインスペクションを実施します。SSLインスペクションとクラウド サービスとして提供されるZscalerの完全なセキュリティ スタックを組み合わせることで、アプライアンスの制約を受けることなく、優れた保護を実現できます。

無制限の容量

トラフィックの需要に合わせて弾力的に拡張できるサービスで、ネットワーク内外のすべてのユーザーのSSLトラフィックを検査します。

無駄のない管理

すべてのゲートウェイで個別に証明書を管理する必要はありません。Zscalerのクラウドにアップロードされた証明書は、世界各地150拠点以上のZscalerのデータ センターですぐに利用できます。

きめ細かなポリシー制御

ヘルスケアや金融機関など、機密性の高いWebサイト カテゴリーの暗号化されたユーザー トラフィックは除外できるため、コンプライアンスを柔軟に確保できます。

セキュリティと安全性

最新のAES/GCMおよびDHE暗号をサポートすることで、完全な前方秘匿性を確保し、セキュリティを維持します。ユーザーのデータがクラウドに保存されることはありません。

シンプルな証明書管理

Zscalerの証明書または組織の証明書が使用できます。ZscalerのAPIを使用して、必要に応じて何度でも証明書を簡単にローテーションすることもできます。

暗号化されたトラフィックの検査に高価なアプライアンスは必要ありません。Zscalerが実現する無制限のSSLインスペクションについては、こちらを参照してください。

おすすめのリソース