SSLインスペクションとは

SSLインスペクションが重要な理由

SaaSアプリやクラウドの普及に伴い、より多くのデータがインターネットを通過するようになったことで、セキュリティのリスクは拡大の一途をたどっています。こうした状況から、暗号化は機密データを安全に保つうえで不可欠な要素となっており、現在ではほとんどのブラウザー、Webサーバー、クラウド アプリが送信データを暗号化して、HTTPS接続を介してデータを交換しています。

HTTPSトラフィックに隠れることができるのは、機密データだけではありません。脅威も同じようにその身を隠すことができるのです。だからこそ、復号されたトラフィックをブロックまたは再暗号化する前に、その内容を完全に検査したうえでトラフィックを続行させられる効果的なSSLインスペクションを実装する必要があります。

SSLとTLSの違い

セキュア ソケット レイヤー(SSL)とトランスポート レイヤー セキュリティ(TLS)は、どちらも2つのポイント間のデータの暗号化と送信を制御する暗号化プロトコルです。では、両者の違いは何でしょうか？

現在は存続していないNetscapeが1990年代半ばにSSLを開発し、1996年後半にSSL 3.0をリリースしました。SSL3.0の改良版に基づくTLS 1.0は、1999年に登場しました。2018年にインターネット技術標準化委員会(IETF)によってリリースされたTLS 1.3は、本記事の執筆時点で最も新しく安全なバージョンです。現在では、SSLはもはや開発もサポートもされておらず、2015年にIETFは脆弱性(例：中間者攻撃に対する脆弱性)や重要なセキュリティ機能の欠如を理由に、SSLのすべてのバージョンは非推奨であると宣言しました。

このように、何十年にもわたって変化してきたSSLとTLSですが、技術的な用語として厳密に使われる場合を除けば、暗号プロトコルは一括りに「SSL」と表現されることも少なくありません。つまり、SSL、TLS、SSL/TLS、そしてHTTPSは、多くの場合すべて同じものを意味しています。本記事では、必要に応じてそれぞれを明確に区別します。

SSLインスペクションのメリット

SSLインスペクションを実装することで、エンドユーザー、顧客、データを安全に保ち、次のことが可能になります。

• 隠れたマルウェアを発見し、ハッカーが防御をすり抜けるのを阻止することで、データ漏洩を防止する
• 従業員が意図的または偶然に外部に送信している内容を把握する
• 規制コンプライアンス要件に準拠し、従業員が機密データを危険にさらさないように徹底する
• 組織全体のセキュリティを維持できる多層防御戦略をサポートする

SSLインスペクションの必要性

現在、大半のWebトラフィックが暗号化されているため、SSLインスペクションは現代の組織にとって重要なネットワーク セキュリティ機能となっています。一部のサイバーセキュリティ アナリストは、マルウェアの90%以上が暗号化されたチャネルに潜んでいる可能性があると推定しています。

このように暗号化が一般的になりつつあるにもかかわらず、多くの組織は依然として一部のトラフィックに対してのみSSL/TLSインスペクションを実施し、「信頼できる」特定のソースからのトラフィックは検査の対象外にしています。しかしこれは、目まぐるしく変化するインターネットの世界においては危険といえます。例えば、Webサイトは動的に配信され、複数のソースから取得した何百ものオブジェクトを表示できますが、そのそれぞれが脅威となる可能性もあるのです。

また、マルウェアの作成者が不正プログラムを隠すために暗号化を利用するケースも増えています。現在、世界中に100以上のSSL認証局があり、有効な署名済み証明書を簡単かつ安価に取得できるようになっていますが、Zscalerのクラウドが処理するトラフィックの約70%は常に暗号化されているため、SSLトラフィックを検査する機能は非常に重要です。

では、なぜすべての組織がこれを実践しないのでしょうか？その理由は明白で、SSLトラフィックの復号、検査、再暗号化には多くの計算が必要であり、適切な技術がなければ、ネットワークのパフォーマンスに壊滅的な影響を与える可能性があるからです。ほとんどの組織にとって、ビジネスやワークフローを中断させてしまうような事態は大きな痛手となるため、処理要求に対応しきれないアプライアンスによるHTTPS検査は回避するしかないのです。

暗号化と最新の脅威の現状

データ プライバシーに対する懸念が高まる中で、暗号化をデフォルトで行う傾向が強まりつつあります。これはプライバシーの観点からは良い兆候といえますが、技術的な要件や必要となるハードウェアの価格の問題は、多くの組織にとって非常に大きな負担となります。こうした背景が、暗号化されたトラフィックを大規模に検査する体制を整えられないという事態を招いています。

脅威アクターはこの状況を把握しているため、SSLベースの脅威は増加し続けています。暗号化の突破は、システムに侵入してデータを盗むためにさまざまな方法を生み出してきたハッカーにとっても難しく、時間がかかるため、効率的な手法とはいえません。代わりにハッカー側も暗号化を利用することで、悪意のあるコンテンツを配布したり、マルウェアを隠したり、検知されることなく攻撃を実行したりするようになっています。

長年、WebサイトのURLアドレスの横に錠前または鍵のマークが表示されていれば、そのサイトは安全とみなされてきました。しかし最近では、このマークがある場合でも安全とは言い切れなくなっています。暗号化されたチャネルを移動するトラフィックは、デジタル証明書だけを理由に信頼されるべきではありません。かつてはインターネット上で送受信されるデータに対する究極の保護として期待されたSSLですが、いまではサイバー犯罪に広く利用されるまでになっています。

SSLインスペクションの仕組み

SSL復号とSSLインスペクションには異なるアプローチがありますが、ここでは最も一般的なものとその主な特徴を紹介します。

ZscalerとSSLインスペクション

Zscaler Zero Trust Exchange™プラットフォームは、レイテンシーや容量の制限を発生させることなく、大規模なフルSSLインスペクションを実施します。SSLインスペクションとクラウド サービスとして提供されるZscalerの完全なセキュリティ スタックを組み合わせることで、アプライアンスの制約を受けることなく、優れた保護を実現できます。

無制限の容量

トラフィックの需要に合わせて弾力的に拡張できるサービスで、ネットワーク内外のすべてのユーザーのSSLトラフィックを検査します。

無駄のない管理

すべてのゲートウェイで個別に証明書を管理する必要はありません。Zscalerのクラウドにアップロードされた証明書は、世界各地150拠点以上のZscalerのデータ センターですぐに利用できます。

きめ細かなポリシー制御

ヘルスケアや金融機関など、機密性の高いWebサイト カテゴリーの暗号化されたユーザー トラフィックは除外できるため、コンプライアンスを柔軟に確保できます。

セキュリティと安全性

最新のAES/GCMおよびDHE暗号をサポートすることで、完全な前方秘匿性を確保し、セキュリティを維持します。ユーザーのデータがクラウドに保存されることはありません。

シンプルな証明書管理

Zscalerの証明書または組織の証明書が使用できます。ZscalerのAPIを使用して、必要に応じて何度でも証明書を簡単にローテーションすることもできます。