VPNの脆弱性に関する不安が広がっています。ZPAの60日間無料トライアルを利用して、VPNからの移行のメリットをお確かめください。

エキスパートに相談する

SSLインスペクションとは

SSLインスペクションとは、クライアントとサーバーの間のSSL暗号化されたインターネット通信を捕捉し、検査することです。インターネット トラフィックの大部分はSSL暗号化されており、悪意のあるコンテンツが含まれている場合もあるため、SSLトラフィックの検査は極めて重要になっています。

SSLインスペクションの課題を見る(英語)

SSLインスペクションが重要な理由

SaaSアプリやクラウドの普及に伴い、より多くのデータがインターネットを通過するようになったことで、セキュリティのリスクは拡大の一途をたどっています。こうした状況から、暗号化は機密データを安全に保つうえで不可欠な要素となっており、現在ではほとんどのブラウザー、Webサーバー、クラウド アプリが送信データを暗号化して、HTTPS接続を介してデータを交換しています。

HTTPSトラフィックに隠れることができるのは、機密データだけではありません。脅威も同じようにその身を隠すことができるのです。だからこそ、復号されたトラフィックをブロックまたは再暗号化する前に、その内容を完全に検査したうえでトラフィックを続行させられる効果的なSSLインスペクションを実装する必要があります。

2021年の1月~9月の間に、ZscalerはHTTPSを介して207億件の脅威をブロックしました。これは2020年にブロックした66億件の脅威から314%以上増加したことを示しており、2020年の数字自体もその前年から260%近く増加したことになります。

ThreatLabz: 2021年版 暗号化された攻撃の状況

SSLとTLSの違い

セキュア ソケット レイヤー(SSL)とトランスポート レイヤー セキュリティ(TLS)は、どちらも2つのポイント間のデータの暗号化と送信を制御する暗号化プロトコルです。では、両者の違いは何でしょうか?

現在は存続していないNetscapeが1990年代半ばにSSLを開発し、1996年後半にSSL 3.0をリリースしました。SSL3.0の改良版に基づくTLS 1.0は、1999年に登場しました。2018年にインターネット技術標準化委員会(IETF)によってリリースされたTLS 1.3は、本記事の執筆時点で最も新しく安全なバージョンです。現在では、SSLはもはや開発もサポートもされておらず、2015年にIETFは脆弱性(例:中間者攻撃に対する脆弱性)や重要なセキュリティ機能の欠如を理由に、SSLのすべてのバージョンは非推奨であると宣言しました。

このように、何十年にもわたって変化してきたSSLとTLSですが、技術的な用語として厳密に使われる場合を除けば、暗号プロトコルは一括りに「SSL」と表現されることも少なくありません。つまり、SSL、TLS、SSL/TLS、そしてHTTPSは、多くの場合すべて同じものを意味しています。本記事では、必要に応じてそれぞれを明確に区別します。

SSLインスペクションのメリット

SSLインスペクションを実装することで、エンドユーザー、顧客、データを安全に保ち、次のことが可能になります。

  • 隠れたマルウェアを発見し、ハッカーが防御をすり抜けるのを阻止することで、データ漏洩を防止する
  • 従業員が意図的または偶然に外部に送信している内容を把握する
  • 規制コンプライアンス要件に準拠し、従業員が機密データを危険にさらさないように徹底する
  • 組織全体のセキュリティを維持できる多層防御戦略をサポートする

SSLインスペクションの必要性

現在、大半のWebトラフィックが暗号化されているため、SSLインスペクションは現代の組織にとって重要なネットワーク セキュリティ機能となっています。一部のサイバーセキュリティ アナリストは、マルウェアの90%以上が暗号化されたチャネルに潜んでいる可能性があると推定しています。

このように暗号化が一般的になりつつあるにもかかわらず、多くの組織は依然として一部のトラフィックに対してのみSSL/TLSインスペクションを実施し、「信頼できる」特定のソースからのトラフィックは検査の対象外にしています。しかしこれは、目まぐるしく変化するインターネットの世界においては危険といえます。例えば、Webサイトは動的に配信され、複数のソースから取得した何百ものオブジェクトを表示できますが、そのそれぞれが脅威となる可能性もあるのです。

また、マルウェアの作成者が不正プログラムを隠すために暗号化を利用するケースも増えています。現在、世界中に100以上のSSL認証局があり、有効な署名済み証明書を簡単かつ安価に取得できるようになっていますが、Zscalerのクラウドが処理するトラフィックの約70%は常に暗号化されているため、SSLトラフィックを検査する機能は非常に重要です。

では、なぜすべての組織がこれを実践しないのでしょうか?その理由は明白で、SSLトラフィックの復号、検査、再暗号化には多くの計算が必要であり、適切な技術がなければ、ネットワークのパフォーマンスに壊滅的な影響を与える可能性があるからです。ほとんどの組織にとって、ビジネスやワークフローを中断させてしまうような事態は大きな痛手となるため、処理要求に対応しきれないアプライアンスによるHTTPS検査は回避するしかないのです。

暗号化と最新の脅威の現状

データ プライバシーに対する懸念が高まる中で、暗号化をデフォルトで行う傾向が強まりつつあります。これはプライバシーの観点からは良い兆候といえますが、技術的な要件や必要となるハードウェアの価格の問題は、多くの組織にとって非常に大きな負担となります。こうした背景が、暗号化されたトラフィックを大規模に検査する体制を整えられないという事態を招いています。

脅威アクターはこの状況を把握しているため、SSLベースの脅威は増加し続けています。暗号化の突破は、システムに侵入してデータを盗むためにさまざまな方法を生み出してきたハッカーにとっても難しく、時間がかかるため、効率的な手法とはいえません。代わりにハッカー側も暗号化を利用することで、悪意のあるコンテンツを配布したり、マルウェアを隠したり、検知されることなく攻撃を実行したりするようになっています。

長年、WebサイトのURLアドレスの横に錠前または鍵のマークが表示されていれば、そのサイトは安全とみなされてきました。しかし最近では、このマークがある場合でも安全とは言い切れなくなっています。暗号化されたチャネルを移動するトラフィックは、デジタル証明書だけを理由に信頼されるべきではありません。かつてはインターネット上で送受信されるデータに対する究極の保護として期待されたSSLですが、いまではサイバー犯罪に広く利用されるまでになっています。

2020年6月現在、米国においてGoogle Chromeのページの96%が暗号化(HTTPS)を使用して読み込まれたことがわかっています。

Google透明性レポート

SSLインスペクションの仕組み

SSL復号とSSLインスペクションには異なるアプローチがありますが、ここでは最も一般的なものとその主な特徴を紹介します。

SSLインスペクションの方法

仕組み

  • 次世代ファイアウォール(NGFW)

    ネットワーク接続がパケットレベルの可視性のみでNGFWを介してストリーミングされるため、脅威検出の機能が制限されます。

  • プロキシ

    クライアント/サーバー間に2つの独立した接続が作成され、ネットワーク フローとセッションがすべて検査されます。

SSLインスペクションの影響

  • 次世代ファイアウォール(NGFW)

    NGFWはマルウェアの一部しか認識しないため、マルウェアが断片的に配信される可能性があります。また、追加のプロキシ機能が必要であり、脅威対策などの重要な機能を有効にすると、パフォーマンスが低下する傾向があります。

  • プロキシ

    オブジェクト全体を再構成してスキャンできるため、サンドボックスやDLPなどの脅威検出エンジンを追加してスキャンできます。

TLS 1.3を使用する場合の影響

  • 次世代ファイアウォール(NGFW)

    TLS 1.3暗号のより高いパフォーマンスとスケールの要件により、パフォーマンスが大幅に低下します。この問題を解決するには、ハードウェアのアップグレードが必要になります。

  • プロキシ

    サービスとして配信されるクラウド プロキシの場合、TLS 1.3のパフォーマンスとスケールのニーズを満たすために、お客様側でアプライアンスを更新する必要はありません。

より具体的な説明として、Zscalerプラットフォーム上でどのように動作するかを見てみましょう。ZscalerでSSLインスペクションを有効にした場合、プロセスは次のようになります。

  1. ユーザーがブラウザーを開いてHTTPS要求を送信します。

  2. ZscalerサービスがHTTPSリクエストを捕捉します。サービスは、別のSSLトンネルを介して独自のHTTPSリクエストを宛先サーバーに送信し、SSLネゴシエーションを実行します。

  3. 宛先サーバーが証明書と公開鍵をZscalerのサービスに送信します。

  4. Zscalerサービスと宛先サーバーがSSLハンドシェイクを完了します。アプリケーション データと後続のメッセージは、SSLトンネルを介して送信されます。

  5. ZscalerサービスがユーザーのブラウザーとSSLネゴシエーションを実行し、ブラウザーにZscalerの中間証明書または組織のカスタム中間ルートとZscalerの中間CAによって署名されたサーバー証明書を送信します。その後、ブラウザーがブラウザーの証明書ストアで証明書チェーンを検証します。

  6. ZscalerサービスとブラウザーがSSLハンドシェイクを完了します。アプリケーション データと後続のメッセージは、SSLトンネルを介して送信されます。

ZscalerとSSLインスペクション

Zscaler Zero Trust Exchange™プラットフォームは、レイテンシーや容量の制限を発生させることなく、大規模なフルSSLインスペクションを実施します。SSLインスペクションとクラウド サービスとして提供されるZscalerの完全なセキュリティ スタックを組み合わせることで、アプライアンスの制約を受けることなく、優れた保護を実現できます。

無制限の容量

トラフィックの需要に合わせて弾力的に拡張できるサービスで、ネットワーク内外のすべてのユーザーのSSLトラフィックを検査します。

無駄のない管理

すべてのゲートウェイで個別に証明書を管理する必要はありません。Zscalerのクラウドにアップロードされた証明書は、世界各地150拠点以上のZscalerのデータ センターですぐに利用できます。

きめ細かなポリシー制御

ヘルスケアや金融機関など、機密性の高いWebサイト カテゴリーの暗号化されたユーザー トラフィックは除外できるため、コンプライアンスを柔軟に確保できます。

セキュリティと安全性

最新のAES/GCMおよびDHE暗号をサポートすることで、完全な前方秘匿性を確保し、セキュリティを維持します。ユーザーのデータがクラウドに保存されることはありません。

シンプルな証明書管理

Zscalerの証明書または組織の証明書が使用できます。ZscalerのAPIを使用して、必要に応じて何度でも証明書を簡単にローテーションすることもできます。

暗号化されたトラフィックの検査に高価なアプライアンスは必要ありません。Zscalerが実現する無制限のSSLインスペクションについては、こちらを参照してください。

おすすめのリソース