ファイアウォールの新たなゼロデイ脆弱性が話題になっています。ファイアウォールやVPNについて不安をお持ちの場合は、Zscalerの特別オファーをご活用ください。
Zpedia 

/ SSL復号とは

SSL復号とは

SSL復号化は、完全なSSLインスペクションの流れの一環として、暗号化されたトラフィックのスクランブルを解除してサイバー脅威を確認するプロセスです。Webトラフィックのほとんどが暗号化されており、一部のサイバーセキュリティ アナリストは、マルウェアの90%以上が暗号化されたチャネルに潜んでいると推測しています。そのため、SSL復号化は現代の組織にとって非常に重要なネットワーク セキュリティ機能になります。

SSL復号化が重要な理由

クラウドとSaaSアプリの普及に伴い、ファイルやデータの文字列がどこかの時点でインターネットを通過する可能性は高くなっています。そして、そのデータが部外秘または機密事項である場合、標的にされる可能性があるため、ユーザーとデータの安全性を確保するのに、暗号化は非常に重要な役割を果たします。現在のほとんどのブラウザー、Webサイト、クラウド アプリは、送信データを暗号化し、暗号化された接続を介してデータをやり取りしています。

暗号化で機密データを隠せるということは、脅威自体もまた同じように隠すことができるのです。そのため、効果的なSSL復号も同様に不可欠です。その理由は、復号されたトラフィックの内容を完全に検査したうえで、ブロックまたは再暗号化してトラフィックを続行させることができるからです。

SSLとTLSの比較

セキュア ソケット レイヤー(SSL)とトランスポート レイヤー セキュリティ(TLS)は、どちらも2つのポイント間のデータの暗号化と送信を制御する暗号化プロトコルです。では、両者の違いは何でしょうか?

現在は存続していないNetscapeが1990年代にSSLを開発し、1996年の後半にSSL3.0をリリースしました。SSL3.0の改良版に基づくTLS 1.0は、1999年に登場しました。2018年にインターネット技術標準化委員会(IETF)によってリリースされたTLS 1.3は、本記事の執筆時点で最も新しく安全なバージョンです。現在、SSLは開発もサポートもされておらず、2015年にIETFは脆弱性(例:中間者攻撃に対する脆弱性)や重要なセキュリティ機能の欠如を理由に、SSLのすべてのバージョンは非推奨であると発表しました。

この点と数十年にもわたる変化の歴史にもかかわらず、厳密な技術的な用語として使われる場合を除けば、暗号プロトコルが一括りに「SSL」と表現されることは少なくありません。つまり、SSLやTLS、SSL/TLS、そしてHTTPSは、多くの場合すべて同じものを意味しているのです。本記事では、必要に応じてそれぞれを明確に区別します。

SSL復号化のメリット

SSL復号とSSLインスペクションを実装することで、エンド ユーザー、顧客、データを安全に保ち、次のことが可能になります。

  • 隠れたマルウェアを発見し、ハッカーが防御をすり抜けるのを阻止することで、データ漏洩を防止する
  • 従業員が意図的または偶発的に組織外に送信している内容を把握する
  • 規制コンプライアンス要件に準拠し、従業員が機密データを危険にさらさないように徹底する
  • 組織全体のセキュリティを維持する多層防御戦略をサポートする
2022年10月~2023年9月の間に、Zscalerのクラウドは暗号化トラフィック(SSL/TLS)に埋め込まれた298億件の攻撃をブロックしました。これは前年比24.3%の増加で、2022年度の前年比増加率(20%)を上回る結果となりました。

- Zscaler ThreatlabZ

SSL復号化の必要性

暗号化の使用が増えているにもかかわらず、多くの組織は依然としてSSL/TLSトラフィックの一部のみを検査し、コンテンツ配信ネットワーク(CDN)および特定の「信頼できる」サイトからのトラフィックは検査していません。これは、以下の理由から高リスクになります。

  • Webページは簡単に書き換えできる。複数のソースから取得した何百ものオブジェクトを表示するものがありますが、そのそれぞれが脅威となる可能性があり、ソースに関わらず信頼できないものとみなす必要があります。
  • マルウェア作成者は、不正プログラムを隠すために暗号化を使用する。現在、世界中に100以上の認証局があり、有効なSSL証明書を簡単かつ安価に取得できるようになっています。
  • ほとんどのトラフィックは暗号化されている。Zscalerのクラウドが処理するトラフィックの約70%は常に暗号化されているため、SSLトラフィックを復号する機能は非常に重要です。

では、なぜすべての組織がこれを実践しないのでしょうか?その理由は明白で、SSLトラフィックの復号、検査、再暗号化には多くの計算が必要であり、適切な技術がなければ、ネットワークのパフォーマンスに壊滅的な影響を与える可能性があるからです。ほとんどの組織にとって、ビジネスやワークフローを中断させてしまうような事態は大きな痛手となるため、処理要求に対応しきれないアプライアンスによる検査は回避するしかないのです。

SSL復号化の仕組み

SSL復号化とSSLインスペクションには、いくつか異なるアプローチがあります。最も一般的なものと、それぞれの主な特徴は以下のとおりです。

SSLインスペクションの方法

ターミナル アクセス ポイント(TAP)モード

次世代ファイアウォール(NGFW)

プロキシ

シンプルなハードウェア デバイスが、すべてのネットワーク トラフィックをコピーし、SSLインスペクションを含むオフライン分析を実行します。

ネットワーク接続がパケットレベルの可視性のみでNGFWを介してストリーミングされるため、脅威検出の機能が制限されます。

クライアント/サーバー間に2つの独立した接続が作成され、ネットワーク フローとセッションがすべて検査されます。

データを失うことなく、すべてのトラフィックがフル ライン レートでコピーされるようにするには、高価なハードウェア(10 GネットワークTAPなど)が必要です。

NGFWはマルウェアのごく一部しか認識しないため、断片的な配信を許可します。また、追加のプロキシ機能が必要であり、脅威防御などの重要な機能を有効にすると、パフォーマンスが低下する傾向があります。

オブジェクト全体を再構成してスキャンできるため、サンドボックスやDLPなどの脅威検出エンジンを追加してスキャンできます。

SSLセッションごとに新しいキーを必要とする「完全な前方秘匿」によって、遡及的なSSL検査はもはや機能しません。

TLS 1.3暗号のより高いパフォーマンスとスケールの要件により、パフォーマンスが大幅に低下します。この問題を解決するには、ハードウェアのアップグレードが必要になります。

サービスとして配信されるクラウド プロキシの場合、TLS 1.3のパフォーマンスとスケールのニーズを満たすために、お客様側でアプライアンスを更新する必要はありません。

SSL復号化のベスト プラクティス

SSL復号とSSLインスペクション機能の実装は、組織の安全性を確保するうえで必要不可欠です。しかし、SSLインスペクションを導入する際には、技術的な面も含めて考慮すべき重要なポイントがあります。

  • 小規模な場所またはテスト環境から開始して、担当部門が機能を把握し、意図したとおりに動作することを確認してから広範囲で有効にする。
  • トラブルシューティングを減らすために、エンドユーザー通知を更新して、新しいSSLインスペクション ポリシーをユーザーに通知することを検討する。
  • (省略可) SSLインスペクション ポリシーを定義する際に、SSLトランザクションを復号しないURL、クラウド アプリ、およびそれらのカテゴリーのリストを作成する。
  • 最初は、アダルト コンテンツやギャンブル関連などのプライバシーや法的リスクをもたらす危険なカテゴリーのみの検査を有効にする。その後、準備ができたら、財務と医療を除くすべてのURLカテゴリーの検査を有効にしてプライバシー侵害のリスクを軽減する。
  • 組織で使用するアプリケーションのうち、証明書のピン留めを利用するアプリケーション(特定のクライアント証明書を1つだけ受け入れるもの)に注意する。これらのアプリはSSLインスペクションでは機能しない可能性があるため、復号しない対象としてリストに含めるようにする。
  • ユーザー認証を有効にして、SSLインスペクションのサービスにユーザー ポリシーを適用できるようにする。

SSLインスペクションによるプライバシーへの影響

SSL復号とSSLインスペクションによりセキュリティは劇的に改善されますが、単にすべてを復号すれば良いというものでもありません。業界、地域、対象となる法律や規制によっては、医療データや財務データなど、復号してはならないトラフィックを扱う場合もあり得ます。その場合、こうした接続の機密性が保たれるようにフィルターやポリシーを構成する必要があります。

課題となるのは法律や規制に関する問題だけでなく、通常、リスクを軽減し、ユーザーやデータの安全を確保するには、可能な限り多くのSSLトラフィックを検査する必要があるります。

ZscalerとSSL復号化

Zscaler Zero Trust Exchange™プラットフォームは、レイテンシーや容量の制限なく、大規模かつ完全なSSLインスペクションを実現します。SSLインスペクションとクラウド サービスとしての完全なセキュリティ スタックを組み合わせることで、アプライアンスの制約を受けることなく、優れた保護を実現できます。

無制限の容量

トラフィックの需要に合わせて弾力的に拡張できるサービスで、ネットワーク内外のすべてのユーザーのSSLトラフィックを検査します。。

無駄のない管理態勢

すべてのゲートウェイで個別に証明書を管理する必要はありません。Zscalerのクラウドにアップロードされた証明書は、世界各地150拠点以上のZscalerのデータ センターですぐに利用できます。

きめ細かいポリシー制御

医療関連や金融関連などの機密性の高いWebサイトについては、暗号化されたユーザー トラフィックを除外する柔軟性を持ち、コンプライアンスを担保できます。

安全性とセキュリティ

最新のAES/GCMおよびDHE暗号をサポートすることで、完全な前方秘匿性を確保し、セキュリティを維持します。ユーザーのデータがクラウドに保存されることはありません。

証明書管理の簡素化

Zscalerの証明書または独自の証明書が使用できるほか、APIを使用して、必要に応じて何度でも証明書を簡単にローテーションできます。

promotional background

Zscaler SSL Inspectionは、高価なアプライアンスを使用することなく、暗号化されたすべてのトラフィックを無制限に検査します。

おすすめのリソース

暗号化されたトラフィックに隠れたものを検知
レポートを読む
2023年版 Zscaler ThreatLabz暗号化された攻撃の現状レポート
レポートを読む
TLS/SSLインスペクションの術策
ブログを読む