ゼロトラストの変革力を体験する
レポートを入手(英語)
トランスフォーメーションへの取り組みを推進
ビジネスとITのイニシアチブを達成
クラウドとSaaSアプリの普及に伴い、特定のファイルやデータの文字列がある時点でインターネットを通過する可能性が高くなっています。そして、そのデータが社外秘または機密事項である場合、標的にされる可能性があるため、ユーザーとデータの安全性を確保するのに、暗号化は非常に重要な役割を果たします。現在のほとんどのブラウザー、Webサイト、クラウド アプリは、送信データを暗号化し、暗号化された接続を介してデータをやり取りしています。
暗号化で機密データを隠せるということは、脅威自体もまた同じように隠すことができるのです。そのため、効果的なSSL復号も同様に不可欠です。その理由は、復号されたトラフィックの内容を完全に検査したうえで、ブロックまたは再暗号化してトラフィックを続行させることができるからです。
混同されがちな2つの概念について見ていきましょう。セキュア ソケット レイヤー(SSL)とトランスポート レイヤー セキュリティ(TLS)は、どちらも2つのポイント間のデータの暗号化と送信を制御する暗号化プロトコルです。では、両者の違いは何でしょうか?
現在は存続していないNetscapeが1990年代にSSLを開発し、1996年の後半にSSL3.0をリリースしました。SSL3.0の改良版に基づくTLS 1.0は、1999年に登場しました。2018年にインターネット技術標準化委員会(IETF)によってリリースされたTLS 1.3は、本記事の執筆時点で最も新しく安全なバージョンです。現在、SSLは開発もサポートもされておらず、2015年にIETFは脆弱性(例:中間者攻撃に対する脆弱性)や重要なセキュリティ機能の欠如を理由に、SSLのすべてのバージョンは非推奨であると発表しました。
この点と数十年にもわたる変化の歴史にもかかわらず、厳密な技術的な用語として使われる場合を除けば、暗号プロトコルが一括りに「SSL」と表現されることは少なくありません。つまり、SSLやTLS、SSL/TLS、そしてHTTPSは、多くの場合すべて同じものを意味しているのです。本記事では、必要に応じてそれぞれを明確に区別します。
SSL復号とSSLインスペクションを実装することで、エンドユーザー、顧客、データを安全に保ち、次のことが可能になります。
ThreatLabz:2021年版 暗号化された攻撃の状況
暗号化の使用が増えているにもかかわらず、多くの組織は依然としてSSL/TLSトラフィックの一部のみを検査し、コンテンツ配信ネットワーク(CDN)や特定の「信頼できる」サイトからのトラフィックは検査対象としていません。これは、以下の理由から高リスクになります。
では、なぜすべての組織がこれを実践しないのでしょうか。その理由は明白で、SSLトラフィックの復号、検査、再暗号化には多くの計算が必要であり、適切な技術がなければ、ネットワークのパフォーマンスに壊滅的な影響を与える可能性があるからです。ほとんどの組織にとって、ビジネスやワークフローを中断させてしまうような事態は大きな痛手となるため、処理要求に対応しきれないアプライアンスによる検査は回避するしかないのです。
SSL復号とSSLインスペクションには、いくつか異なるアプローチがあります。最も一般的なものと、それぞれの主な特徴は以下のとおりです。
Terminal Access Point (TAP) mode
A simple hardware device copies all network traffic for offline analysis, including SSL inspection.
Next-Generation Firewall (NGFW)
Network connections stream through an NGFW with only packet-level visibility, which limits threat detection.
Proxy
Two separate connections are created between client and server, with full inspection across network flow and sessions.
Terminal Access Point (TAP) mode
Expensive hardware (e.g., 10G network TAPs) is required to ensure all traffic is copied at full line rate without data loss.
Next-Generation Firewall (NGFW)
NGFWs only see a fraction of malware, allowing it to be delivered in pieces. They require bolt-on proxy functionality and tend to underperform when key features like threat prevention are enabled.
Proxy
Entire objects can be reassembled and scanned, allowing for scanning by additional threat detection engines, such as sandbox and DLP.
Terminal Access Point (TAP) mode
Retrospective SSL inspection no longer works due to “perfect forward secrecy,” which requires new keys for every SSL session.
Next-Generation Firewall (NGFW)
Performance drops notably due to the higher performance and scale requirements of TLS 1.3 ciphers, requiring a hardware upgrade to overcome.
Proxy
In the case of a cloud proxy delivered as a service, no appliance refresh is required on the customer side to meet TLS 1.3 performance and scale needs.
SSL復号とSSLインスペクション機能の実装は、組織の安全性を確保するうえで必要不可欠です。しかし、SSLインスペクションを導入する際には、技術的な面も含めて考慮すべき重要なポイントがあります。
SSL復号とSSLインスペクションは、セキュリティ衛生を劇的に向上させますが、すべてを復号するわけではありません。業界、地域、対象となる法律や規制によっては、医療データや財務データなど、暗号化を解除してはならない特定のトラフィックが関与する場合もあり得ます。その場合、接続を非公開にするためのフィルターやポリシーを構成する必要があります。
法律や規制の問題以外では、通常、リスクの軽減とユーザーやデータの安全性確保のためには、可能な限り多くのSSLトラフィックを検査する必要があります。
Zscaler Zero Trust Exchange™プラットフォームは、レイテンシーや容量の制限を持たずに、大規模かつ完全なSSLインスペクションを実施します。SSLインスペクションとクラウド サービスとしての完全なセキュリティ スタックを組み合わせることで、アプライアンスの制約を受けることなく、優れた保護を実現できます。
トラフィックの需要に合わせて弾力的に拡張できるサービスを使って、ネットワーク内外にいるすべてのユーザーのSSLトラフィックを検査します。
すべてのゲートウェイで個別に証明書を管理する必要はありません。Zscalerのクラウドにアップロードされた証明書は、世界各地150拠点以上のZscalerのデータ センターですぐに利用可能になります。
医療や金融機関などの機密性の高いWebサイトについては、暗号化されたユーザー トラフィックを除外できる柔軟性を活用してコンプライアンスを順守します。
最新の一連のAES/GCMおよびDHE暗号についてのサポートで完全な前方秘匿性を確保し、セキュリティを維持します。ユーザーのデータがクラウドに保存されることはありません。
Zscalerの証明書または独自の証明書が使用できるほか、APIを使用して、必要に応じて何度でも証明書を簡単にローテーションできます。
暗号化されたトラフィックを、制限を受けずに、なおかつ高価なアプライアンスを使わずに検査する方法については、Zscaler SSL Inspectionを参照してください。
暗号化されたトラフィックに隠れたものを検知
Read the reportThreatLabzによる調査:2021年版暗号化された攻撃の現状
Read the reportTLS/SSLインスペクションの術策
Read the blog
