SSL復号とは SSL復号は、完全なSSLインスペクションの流れの一環として、暗号化されたトラフィックのスクランブルを解除してサイバー脅威を確認するプロセスです。Webトラフィックのほとんどが暗号化されており、一部のサイバーセキュリティ アナリストは、マルウェアの90%以上が暗号化されたチャネルに潜んでいると推測しています。そのため、SSL復号は現代の組織にとって非常に重要なネットワーク セキュリティ機能になります。

レポート:暗号化された攻撃の現状を理解

SSL復号が重要な理由

クラウドとSaaSアプリの普及に伴い、特定のファイルやデータの文字列がある時点でインターネットを通過する可能性が高くなっています。そして、そのデータが社外秘または機密事項である場合、標的にされる可能性があるため、ユーザーとデータの安全性を確保するのに、暗号化は非常に重要な役割を果たします。現在のほとんどのブラウザー、Webサイト、クラウド アプリは、送信データを暗号化し、暗号化された接続を介してデータをやり取りしています。

暗号化で機密データを隠せるということは、脅威自体もまた同じように隠すことができるのです。そのため、効果的なSSL復号も同様に不可欠です。その理由は、復号されたトラフィックの内容を完全に検査したうえで、ブロックまたは再暗号化してトラフィックを続行させることができるからです。

SSLとTLSの比較

混同されがちな2つの概念について見ていきましょう。セキュア ソケット レイヤー(SSL)とトランスポート レイヤー セキュリティ(TLS)は、どちらも2つのポイント間のデータの暗号化と送信を制御する暗号化プロトコルです。では、両者の違いは何でしょうか?

現在は存続していないNetscapeが1990年代にSSLを開発し、1996年の後半にSSL3.0をリリースしました。SSL3.0の改良版に基づくTLS 1.0は、1999年に登場しました。2018年にインターネット技術標準化委員会(IETF)によってリリースされたTLS 1.3は、本記事の執筆時点で最も新しく安全なバージョンです。現在、SSLは開発もサポートもされておらず、2015年にIETFは脆弱性(例:中間者攻撃に対する脆弱性)や重要なセキュリティ機能の欠如を理由に、SSLのすべてのバージョンは非推奨であると発表しました。

この点と数十年にもわたる変化の歴史にもかかわらず、厳密な技術的な用語として使われる場合を除けば、暗号プロトコルが一括りに「SSL」と表現されることは少なくありません。つまり、SSLやTLS、SSL/TLS、そしてHTTPSは、多くの場合すべて同じものを意味しているのです。本記事では、必要に応じてそれぞれを明確に区別します。

SSL復号のメリット

SSL復号とSSLインスペクションを実装することで、エンドユーザー、顧客、データを安全に保ち、次のことが可能になります。

  • 隠れたマルウェアを検出してデータ侵害を防止し、ハッカーが防御をかいくぐるのを阻止する
  • 従業員が意図的または意図せずして外部に送信している内容を把握する
  • 規制コンプライアンス要件に準拠し、従業員が機密データを危険にさらさないように徹底する
  • 組織全体のセキュリティを維持できる多層防御戦略をサポートする

2021年の1月~9月の間に、ZscalerはHTTPSを介して207億件の脅威をブロックしました。これは2020年にブロックした66億件の脅威から314%以上増加したことを示しており、2020年の数字自体もその前年から260%近く増加したことになります。

ThreatLabz:2021年版 暗号化された攻撃の状況

SSL復号の必要性

暗号化の使用が増えているにもかかわらず、多くの組織は依然としてSSL/TLSトラフィックの一部のみを検査し、コンテンツ配信ネットワーク(CDN)や特定の「信頼できる」サイトからのトラフィックは検査対象としていません。これは、以下の理由から高リスクになります。

  • Webページは簡単に書き換えできる。複数のソースから引き出した何百ものオブジェクトを表示するものがありますが、それぞれが脅威をもたらす可能性があり、ソースに関わらず信頼できないものとみなす必要があります。
  • マルウェアの作成者は、悪意を隠すために暗号化を使用する。現在、世界中に100か所以上の認証当局があり、有効なSSL証明書は簡単かつ低価格で取得できます。
  • ほとんどのトラフィックは暗号化されている。Zscalerのクラウドが処理するトラフィックの約70%は常に暗号化されているため、SSLトラフィックを復号する機能は非常に重要です。

では、なぜすべての組織がこれを実践しないのでしょうか。その理由は明白で、SSLトラフィックの復号、検査、再暗号化には多くの計算が必要であり、適切な技術がなければ、ネットワークのパフォーマンスに壊滅的な影響を与える可能性があるからです。ほとんどの組織にとって、ビジネスやワークフローを中断させてしまうような事態は大きな痛手となるため、処理要求に対応しきれないアプライアンスによる検査は回避するしかないのです。

SSL復号の仕組み

SSL復号とSSLインスペクションには、いくつか異なるアプローチがあります。最も一般的なものと、それぞれの主な特徴は以下のとおりです。

Method of SSL inspection

1
  • Terminal Access Point (TAP) mode

    A simple hardware device copies all network traffic for offline analysis, including SSL inspection.

  • Next-Generation Firewall (NGFW)

    Network connections stream through an NGFW with only packet-level visibility, which limits threat detection.

  • Proxy

    Two separate connections are created between client and server, with full inspection across network flow and sessions.

2
  • Terminal Access Point (TAP) mode

    Expensive hardware (e.g., 10G network TAPs) is required to ensure all traffic is copied at full line rate without data loss.

  • Next-Generation Firewall (NGFW)

    NGFWs only see a fraction of malware, allowing it to be delivered in pieces. They require bolt-on proxy functionality and tend to underperform when key features like threat prevention are enabled.

  • Proxy

    Entire objects can be reassembled and scanned, allowing for scanning by additional threat detection engines, such as sandbox and DLP.

3
  • Terminal Access Point (TAP) mode

    Retrospective SSL inspection no longer works due to “perfect forward secrecy,” which requires new keys for every SSL session.

  • Next-Generation Firewall (NGFW)

    Performance drops notably due to the higher performance and scale requirements of TLS 1.3 ciphers, requiring a hardware upgrade to overcome.

  • Proxy

    In the case of a cloud proxy delivered as a service, no appliance refresh is required on the customer side to meet TLS 1.3 performance and scale needs.

SSL復号のベスト プラクティス

SSL復号とSSLインスペクション機能の実装は、組織の安全性を確保するうえで必要不可欠です。しかし、SSLインスペクションを導入する際には、技術的な面も含めて考慮すべき重要なポイントがあります。

  • 小規模な場所またはテスト環境から始めて、担当部門が機能を理解し、意図したとおりに動作することを確認してから広範囲で有効にする。
  • トラブルシューティングを減らすために、エンドユーザー通知を更新して、新しいSSLインスペクション ポリシーをユーザーに通知することを検討する。
  • (省略可)SSLインスペクション ポリシーを定義する際に、SSLトランザクションが暗号化解除されないクラウド アプリやクラウド アプリ カテゴリーのURLやURLカテゴリーのリストを作成する。
  • 最初は、アダルト コンテンツやギャンブル関連などのプライバシーや法的リスクをもたらす危険なカテゴリーのみの検査を有効にする。その後、準備ができたら、財務と医療を除くすべてのURLカテゴリーの検査を有効にしてプライバシー侵害のリスクを軽減する。
  • 組織で使用するアプリケーションのうち、証明書のピン留めを利用するアプリケーション(特定のクライアント証明書を1つだけ受け入れるもの)に注意する。これらのアプリはSSLインスペクションでは機能しない可能性があるため、復号しない対象としてリストに含めるようにする。
  • ユーザー認証を有効にして、SSLインスペクション サービスでユーザー ポリシーを適用できるようにする。

SSLインスペクションによるプライバシーへの影響

SSL復号とSSLインスペクションは、セキュリティ衛生を劇的に向上させますが、すべてを復号するわけではありません。業界、地域、対象となる法律や規制によっては、医療データや財務データなど、暗号化を解除してはならない特定のトラフィックが関与する場合もあり得ます。その場合、接続を非公開にするためのフィルターやポリシーを構成する必要があります。

法律や規制の問題以外では、通常、リスクの軽減とユーザーやデータの安全性確保のためには、可能な限り多くのSSLトラフィックを検査する必要があります。

ZscalerとSSL復号

Zscaler Zero Trust Exchange™プラットフォームは、レイテンシーや容量の制限を持たずに、大規模かつ完全なSSLインスペクションを実施します。SSLインスペクションとクラウド サービスとしての完全なセキュリティ スタックを組み合わせることで、アプライアンスの制約を受けることなく、優れた保護を実現できます。

無制限のキャパシティ

トラフィックの需要に合わせて弾力的に拡張できるサービスを使って、ネットワーク内外にいるすべてのユーザーのSSLトラフィックを検査します。

無駄のない管理

すべてのゲートウェイで個別に証明書を管理する必要はありません。Zscalerのクラウドにアップロードされた証明書は、世界各地150拠点以上のZscalerのデータ センターですぐに利用可能になります。

きめ細かいポリシー制御

医療や金融機関などの機密性の高いWebサイトについては、暗号化されたユーザー トラフィックを除外できる柔軟性を活用してコンプライアンスを順守します。

セキュリティと安心感

最新の一連のAES/GCMおよびDHE暗号についてのサポートで完全な前方秘匿性を確保し、セキュリティを維持します。ユーザーのデータがクラウドに保存されることはありません。

証明書管理の簡素化

Zscalerの証明書または独自の証明書が使用できるほか、APIを使用して、必要に応じて何度でも証明書を簡単にローテーションできます。

暗号化されたトラフィックを、制限を受けずに、なおかつ高価なアプライアンスを使わずに検査する方法については、Zscaler SSL Inspectionを参照してください。

おすすめのリソース

  • 暗号化されたトラフィックに隠れたものを検知

    Read the report
  • ThreatLabzによる調査:2021年版暗号化された攻撃の現状

    Read the report
  • TLS/SSLインスペクションの術策

    Read the blog