リソース > セキュリティ用語集 > SSL復号化とは

SSL復号化とは

SSL復号化の定義

SSL復号化は、完全なSSLインスペクションの流れの一環として、暗号化されたトラフィックのスクランブルを解除してサイバー脅威をチェックするプロセスです。Webトラフィックの圧倒的多数が暗号化されており、一部のサイバーセキュリティアナリストは、マルウェアの90%以上が暗号化されたチャネルに潜んでいると推測しています。そのため、SSL復号化は、現代の組織にとって非常に重要なネットワークセキュリティ機能になります。

クラウドとSaaSアプリの普及に伴い、特定のファイルやデータの文字列がある時点でインターネットを通過する可能性が高くなっています。そして、そのデータが部外秘または機密事項である場合、標的にされる可能性があるため、ユーザとデータの安全性を確保するのに、暗号化は非常に重要な役割を果たします。現在のほとんどのブラウザ、Webサイト、クラウドアプリは、送信データを暗号化し、暗号化された接続を介してデータをやり取りしています。

暗号化で機密データを隠すということは、脅威自体もまた同じように隠すことができるのです。そのため、効果的なSSL復号化も同様に不可欠です。その理由は、復号化されたトラフィックの内容を完全に検査した上で、ブロックまたは再暗号化し、トラフィックを続行させることができるからです。

 

SSLとTLSの比較

セキュアソケットレイヤー (SSL) とトランスポート層セキュリティ (TLS) は、どちらも2つのポイント間のデータの暗号化と転送を制御する暗号化プロトコルです。では、両者にどのような違いがあるのでしょうか。

現在は存続していないNetscapeですが、1990年代半ばにSSLを開発し、1996年の後半にSSL3.0をリリースしました。SSL3.0の改良版に基づくTLS 1.0は、1999年に登場しました。2018年にインターネット技術標準化委員会 (IETF) がリリースしたTLS1.3が、本稿執筆時点では最新かつ安全なバージョンになります。現在、SSLは開発もサポートもされていません。2015年にIETFは、中間者攻撃などに対する脆弱性や重要なセキュリティ機能の欠如を理由に、SSLのすべてのバージョンの使用を非推奨にすると発表しました。

これに加えて、何十年にもわたる変化にもかかわらず、厳密に技術的な意味を除けば、暗号プロトコルを一括りにして「SSL」と表現することは少なくありません。言い方を変えれば、SSL、TLS、SSL/TLS、HTTPSが、ほとんどの場合すべて同じことを意味するのです。この記事では、必要に応じてそれぞれを明確に区別します。

SSL復号化のメリット

SSL復号化とSSLインスペクションを実装することで、エンドユーザ、顧客、データを安全に保ち、次のことが可能になります。

  • 隠れたマルウェアを検出し、ハッカーによる防御のすり抜けを阻止することでデータ侵害を防ぐ
  • 従業員が意図的または偶発的に組織外に送信している内容を把握する
  • 規制コンプライアンス要件に準拠し、従業員が機密データを危険にさらさないように徹底する
  • 組織全体のセキュリティを維持する多層防御戦略をサポートする

2021年1月~9月の間に、ZscalerはHTTPSを介して207億件の脅威をブロックしました。これは、2020年にブロックした66億件の脅威から314%以上増加したことになり、それ自体は前年比で260%近く増加しています。

ThreatLabz: 2021年版暗号化された攻撃の現状

SSL復号化の必要性

暗号化の使用が増えているにもかかわらず、多くの組織は依然としてSSL/TLSトラフィックの一部のみを検査し、コンテンツ配信ネットワーク (CDN) および特定の「信頼できる」サイトからのトラフィックは検査していません。Webページは非常に簡単に変更できるため、これは危険です。動的に配信されて複数のソースから引き出した何百ものオブジェクトを表示することができますが、そのそれぞれが脅威をもたらす可能性があり、ソースが何であれ信頼できないものと考えるべきです。

一方、マルウェアの作成者は悪用の意図を隠すために暗号化を使用することが増えています。現在、世界中に100以上の認証当局があり、簡単に有効なSSL証明書を取得でき、費用もそれほどかかりません。Zscalerのクラウドが処理するトラフィックの約70%は常に暗号化されているため、SSLトラフィックを復号化する能力は非常に重要です。

なぜすべての組織はこれを実践しないのでしょうか。その理由は明白で、SSLトラフィックの復号化、検査、再暗号化には多くの計算が必要であり、適切な技術がなければ、ネットワークのパフォーマンスに壊滅的な影響を与える可能性があるからです。ほとんどの組織にとって、ビジネスやワークフローを中断させてしまうような事態は大きな痛手となるため、処理要求に対応しきれないアプライアンス検査は回避するしかありません。
 

SSL復号化の仕組み

SSL復号化とSSLインスペクションには、いくつか異なるアプローチがあります。最も一般的なものと、それぞれの主な検討事項を見てみましょう。

SSLインスペクションの手法

ターミナルアクセスポイント (TAP) モード

次世代ファイアウォール (NGFW)

プロキシ

仕組み

シンプルなハードウェアデバイスが、すべてのネットワークトラフィックをコピーし、SSLインスペクションを含むオフライン分析を実行します。

ネットワーク接続は、パケットレベルの可視性のみでNGFWを介してストリーミングされるため、脅威検出の能力は制限されます。

クライアント/サーバ間に2つの独立した接続が作成され、ネットワークフローとセッションがすべて検査されます。

SSLインスペクションの影響

データを失うことなくすべてのトラフィックがフルラインレートでコピーされることを保証するためには、高価なハードウェア (10GネットワークTAPなど) が必要です。

NGFWはマルウェアのごく一部しか認識しないため、断片的な配信を許可します。また、追加のプロキシ機能が必要であり、脅威防御などの重要な機能を有効にすると、パフォーマンスが低下する傾向があります。

オブジェクト全体を再構成してスキャンできるため、サンドボックスやDLPなどの追加の脅威検出エンジンによるスキャンが可能になります。

TLS1.3の採用による影響度

SSLセッションごとに新しいキーを必要とする「完全な前方秘匿」によって、遡及的なSSL検査はもはや機能しません。

TLS1.3暗号のより高いパフォーマンスとスケールの要件により、パフォーマンスが大幅に低下します。これを解決するには、ハードウェアのアップグレードが必要になります。

サービスとして提供されるクラウドプロキシの場合、TLS1.3のパフォーマンスとスケールのニーズを満たすために、アプライアンスを更新する必要はありません。

SSL復号化のベストプラクティス

SSL復号化とSSLインスペクション機能の実装は、組織の安全性を確保する上で必要不可欠です。しかし、SSLインスペクションを導入する際には、技術的な面も含め、考慮すべき重要なポイントがあります。

  • 小規模な場所またはテスト環境から始めて、担当部門が機能を理解し、意図したとおりに動作することを確認してから広範囲で有効にする。
  • トラブルシューティングを減らすために、エンドユーザ通知を更新して、新しいSSLインスペクションポリシーをユーザに通知することを検討する。
  • (省略可) SSLインスペクションポリシーを定義する際に、SSLトランザクションが暗号化解除されないクラウドアプリやクラウドアプリカテゴリのURLやURLカテゴリのリストを作成する。
  • 最初は、アダルトコンテンツやギャンブル関連などのプライバシーや法的リスクをもたらす危険なカテゴリのみの検査を有効にする。その後、準備ができたら、財務と医療を除くすべてのURLカテゴリの検査を有効にしてプライバシー侵害のリスクを軽減する。
  • 組織で使用するアプリケーションのうち、証明書のピン留めを利用するアプリケーション (特定のクライアント証明書を1つだけ受け入れるもの) に注意する。これらのアプリはSSLインスペクションでは機能しない可能性があるため、復号化しない対象一覧に含めるようにする。
  • ユーザ認証を有効にして、SSLインスペクションサービスでユーザポリシーを適用できるようにする。

SSLインスペクションのプライバシーへの影響

SSL復号化とSSLインスペクションは、セキュリティ衛生を劇的に向上させますが、すべてを復号化するわけではありません。業界、地域、対象となる法律や規制によっては、医療データや財務データなど暗号化を解除してはならない特定のトラフィックが関与する場合もあり得ます。その場合、接続を非公開にするためのフィルタやポリシーを構成する必要があります。

法律や規制の問題を除いて、通常、リスクの軽減とユーザやデータの安全性確保のためには、可能な限り多くのSSLトラフィックを検査する必要があります。

ZscalerとSSL復号化

Zscaler Zero Trust Exchange™プラットフォームは、レイテンシや容量の制限を持たずに、大規模かつ完全なSSLインスペクションを可能にします。SSLインスペクションとクラウドサービスとしての完全なセキュリティスタックを組み合わせることで、アプライアンスの制約を受けることなく、優れた保護を得ることができます。

容量無制限
トラフィックの需要に合わせて柔軟に拡張できるサービスで、ネットワーク内外すべてのユーザのSSLトラフィックを検査します。

無駄のない管理態勢
すべてのゲートウェイで個別に証明書を管理する必要はありません。Zscalerのクラウドにアップロードされた証明書は、世界150拠点以上のZscalerのデータセンタですぐに利用できます。

きめ細かなポリシー制御
医療や金融機関などの機密性の高いWebサイトに対しては、暗号化されたユーザトラフィックを除外することで、コンプライアンス準拠を徹底します。

安心と安全
最新のAES/GCMおよびDHE暗号スイートのサポートによって保護を受けた状態にし、完全な前方秘匿性を確保します。ユーザのデータがクラウドに保存されることはありません。

簡単な証明書管理
Zscalerからの証明書またはご自身の証明書を使用できます。APIを使用して、必要に応じて何度でも証明書を簡単にローテーションできます。

 

暗号化されたトラフィックを、制限を受けずに、なおかつ高価なアプライアンスを使わずに検査する方法については、Zscaler SSL Inspectionを参照してください。

参考資料

SSL復号化とSSLインスペクションの詳細については、以下を参照してください。