リソース > セキュリティ用語集 > SSLインスペクションとは

SSLインスペクションとは

 

SSLインスペクションの定義

SSLインスペクションとは、クライアントとサーバ間で行われるSSLで暗号化されたインターネット通信を傍受、確認するプロセスです。悪意のあるコンテンツを含むインターネットトラフィックの大部分はSSL暗号化されているため、SSLトラフィックの検査は極めて重要になりました。

SSL暗号化はデータをスクランブルし、復号化されるまで読み取り不可の状態にできます。このように追加されたセキュリティレイヤは機密情報の保護に役立ちますが、フィッシング、データ侵害、そして分散型サービス拒否(DDoS)などのサイバー攻撃に用いられる悪意のある通信を隠してしまう場合があります。

端的に言えば、機密データがHTTPSトラフィックに隠れることができるように、脅威にも同じことができるのです。つまり、セキュリティのために設計されたツールがセキュリティ面の不安の種となることもありえます。したがって、復号化されたトラフィックの内容を完全に検査し、その後ブロックするか再暗号化して通信の継続を許可するかを判断するためには、SSLインスペクションが必要不可欠です。

2021年の1月から9月の間に、ZscalerはHTTPSを介して207億件の脅威をブロックしました。これは2020年にブロックされた66億件の脅威から314%以上増加したことを示しており、2020年の数字自体もその前年からほぼ260%増加していました。

ThreatLabz:2021年版暗号化された攻撃の現状

SSLとTLSの比較

混同されがちな2つのコンセプトについて見ていきましょう。セキュアソケットレイヤ(SSL)とトランスポートレイヤセキュリティ(TLS)は、どちらも2つのポイント間のデータの暗号化と送信を制御する暗号化プロトコルです。では、両者の違いは何でしょうか?

現在は存続していないNetscapeが1990年代半ばにSSLを開発し、1996年後半にSSL 3.0をリリースしました。SSL3.0の改良版に基づくTLS 1.0は、1999年に登場しました。2018年にインターネット技術標準化委員会(IETF)によってリリースされたTLS 1.3は、本記事の執筆時点で最も新しく安全なバージョンです。現在では、SSLはもはや開発もサポートもされておらず、2015年にIETFは脆弱性(例:中間者攻撃に対する脆弱性)や重要なセキュリティ機能の欠如を理由に、SSLのすべてのバージョンは「非推奨」と宣言しました。

この点と数十年にもわたる変化の歴史にもかかわらず、厳密な技術的な用語として使われる場合を除けば、暗号プロトコルが一括りに「SSL」と表現されることは少なくありません。つまり、SSLやTLS、SSL/TLS、そしてHTTPSは、多くの場合すべて同じものを意味しているのです。本記事では、必要に応じてそれぞれを明確に区別します。

 

SSLインスペクションのメリット

SSL証明書は信頼と権限を与えることができますが、悪意のあるアクターは暗号化されたトラフィックやチャネルで攻撃を隠してくるため、暗号化の強みを武器に信頼の連鎖による保護を突破してしまいます。そのため、エンドユーザ、顧客、およびデータを安全に保つためにSSLインスペクションを実装する必要があります。

SSLインスペクションは、以下のことを通じて現代の組織をサポートします。

  • 隠されたマルウェアを検出してデータ侵害を防止し、ハッカーが防御をかいくぐるのを阻止すること
  • 従業員が意図的に、または意図せずして組織外に送信しているデータを特定し、必要に応じて対処すること
  • 従業員が機密データを危険にさらさないようにすることで、規制コンプライアンス要件に準拠すること
  • 企業組織全体のセキュリティを維持できる多層防御戦略をサポートすること

暗号化、プライバシー、データ保護の両立

ホワイトペーパーを読む(英語)
暗号化、プライバシー、データ保護の両立

Zscalerによるサービスとしてのセキュリティスタックで無制限のSSLインスペクションを実現

データシートを読む(英語)
暗号化、プライバシー、データ保護の両立

企業のSSLトラフィックに対する検査の重要性

ブログを読む(英語)
暗号化、プライバシー、データ保護の両立

SSLインスペクションの必要性

Webトラフィックの圧倒的多数は今では暗号化されており、一部のサイバーセキュリティアナリストは、マルウェアの90%以上が暗号化されたチャネルに潜んでいる可能性があると予測しています。

現在のSaaSアプリとクラウドの人気に伴い、より多くのデータがインターネットを通過するようになっており、リスクにさらされる頻度も増えてきています。したがって、暗号化は機密データを安全に保つために不可欠であり、現代のほとんどのブラウザやWebサーバ、クラウドアプリは送信するデータを暗号化し、HTTPS接続を介してデータを交換しています。

このように暗号化の使用が増えているにもかかわらず、多くの組織は依然としてトラフィックの一部のみにSSL/TLSインスペクションを行い、「信頼できる」とされる特定のソースからのトラフィックは検査の対象外としています。インターネットの世界はいとも簡単に変化するため、このような方法は危険となりえます。例えば、Webサイトは複数のソースから数百種類のオブジェクトを動的に引き出して表示する場合がありますが、それぞれが脅威となる可能性があります。

また、マルウェアの作成者が悪意を隠すために暗号化を利用する場合も増えています。現在、世界中に100以上の認証当局があり、署名済みのSSL証明書をさほど費用をかけずに簡単に取得できるようになっています。また、Zscalerのクラウドが処理するトラフィックの約70%は常時暗号化されている事実は、インバウンドとアウトバウンドのSSLトラフィックを検査する能力の重要性を物語っているといえるでしょう。

では、なぜすべての組織がこれを実践しないのでしょうか?簡単に言えば、SSLトラフィックの復号化、検査、および再暗号化は非常に演算負荷が高く、適切なテクノロジがなければネットワークパフォーマンスに壊滅的な影響を与えてしまう可能性があることが原因です。ほとんどの企業にとって、ビジネスやワークフローを中断させる余裕はないため、処理要求に追いつかないアプライアンスでHTTPS検査をバイパスする以外に選択肢はありません。

 

暗号化と脅威を取り巻く最新の状況

近年、データプライバシーに対する懸念が高まるにつれて、暗号化をデフォルトにする傾向が強くなっています。これはプライバシーの観点からは素晴らしいことですが、技術的な要件や多くの場合に必要となるハードウェアの価格の問題は、多くの組織にとって大きすぎる負担となります。それが原因で、これらの組織は暗号化されたトラフィックを大規模に検査する体制を整えていないのです。

脅威アクターはこの点を把握しているため、SSLベースの脅威は増加する一方です。ハッカーはこれまでシステムに侵入してデータを盗む手口を多く見つけてきましたが、暗号化を破ることは依然として難易度が高く、時間もかかります。そこで、犯罪者側も暗号化を利用することで、悪意のあるコンテンツを送り付け、マルウェアを隠し、検知されることなく攻撃を実行するようになりました。

 

証明書があっても保証しきれないセキュリティ

何年もの間、WebサイトのURLアドレスの横に錠前のマークが表示されていれば、そのサイトは安全であると考えられてきました。しかし今では、この証明も安全を完全に保証できなくなったのです。暗号化されたチャネルを移動するトラフィックの安全性は、デジタルの証明書だけで信頼すべきではありません。かつてインターネット経由で送信されるデータを保護する万全な方法とされていたSSLは、いまやサイバー犯罪者が利用できるツールの1つとなってしまいました。

 

SSLインスペクションの仕組み

SSLインターセプト、SSL復号化、およびSSLインスペクションにはいくつかの異なるアプローチがあり、それぞれに固有の構成要件とSSL接続の処理方法があります。その中でも特に一般的なものを見てみましょう。

SSLインスペクションの方法

ターミナルアクセスポイント(TAP)モード

次世代ファイアウォール(NGFW)

プロキシ

仕組み

シンプルなハードウェアデバイスがネットワークトラフィックをすべてコピーし、SSLインスペクションを含むオフライン分析を実行します。

ネットワーク接続がパケットレベルの可視性のみでNGFWを介してストリーミングされるため、脅威検出の機能が制限されます。

クライアントとサーバ間に2つの独立した接続が作成され、ネットワークフローとセッションがすべて検査されます。

SSLインスペクションの影響

データを失うことなく、すべてのトラフィックがフルラインレートでコピーされるようにするには、高価なハードウェア(10GネットワークTAPなど)が必要です。

NGFWはマルウェアの一部しか認識しないため、断片的な配信を許可してしまいます。さらに、追加のプロキシ機能が必要であり、脅威防御などの重要な機能を有効にするとパフォーマンスが低下する傾向があります。

オブジェクト全体を再構成してスキャンできるため、サンドボックスやDLPなどの追加の脅威検出エンジンによるスキャンが可能になります。

TLS 1.3を使用する場合の影響

SSLセッションごとに新しいキーを必要とする「完全な前方秘匿性」によって、遡及的なSSL検査は機能しなくなります。

TLS 1.3暗号のパフォーマンスとスケールに関するより高い要件の影響で、パフォーマンスが大幅に低下しますが、これを解決するにはハードウェアのアップグレードが必要になります。

サービスとして配信されるクラウドプロキシの場合、TLS 1.3のパフォーマンスとスケールのニーズを満たすために、お客様側でアプライアンスを更新する必要はありません。

より具体的な説明として、Zscalerプラットフォーム上でどのように動作するかを見てみましょう。ZscalerでSSLインスペクションを有効にした場合、プロセスは以下のようになります。

  1. ユーザがブラウザを開いてHTTPS要求を送信します。

  2. ZscalerのサービスがHTTPS要求を傍受します。当該サービスは別のSSLトンネル経由で自らのHTTPS要求を接続先のサーバに送信し、SSLネゴシエーションを実行します。

  3. 接続先のサーバが証明書と公開鍵をZscalerのサービスに送信します。

  4. Zscalerのサービスと接続先のサーバがSSLハンドシェイクを完了します。アプリケーションのデータと以降のメッセージは、SSLトンネル経由で送信されます。

  5. Zscalerのサービスが、ユーザのブラウザとSSLネゴシエーションを実行します。Zscalerのサービスが当該ブラウザに対し、Zscalerの中間証明書または組織のカスタマイズされた中間ルートとZscalerの中間CAによって署名されたサーバ証明書を送信します。その後当該ブラウザがブラウザの証明書ストア内の証明書チェーンを検証します。

  6. Zscalerのサービスと当該ブラウザがSSLハンドシェイクを完了します。アプリケーションデータと以降のメッセージは、SSLトンネル経由で送信されます。

 

ZscalerとSSLインスペクション

Zscaler Zero Trust Exchange™はクラウド配信型のセキュリティスタックのネイティブ機能として、完全なSSLインスペクションを提供します。その結果、従来型のアプライアンスが持つ制約に妨げられることのない、高い性能と俊敏性を兼ね備えた大規模なクラウドセキュリティを実現できます。

世界最大のセキュリティクラウドを活用したSSLインスペクションには、以下の特長があります。

無制限のキャパシティ
トラフィックの需要に合わせて弾力的に拡張できるサービスを使って、ネットワーク内外にいるすべてのユーザのSSLトラフィックを検査できます。

無駄のない管理
すべてのゲートウェイで個別に証明書を管理する必要はありません。Zscalerのクラウドにアップロードされた証明書は、世界150拠点以上のZscalerのデータセンタですぐに利用可能になります。

きめ細かいポリシー制御
医療や金融機関などの機密性の高いWebサイトについて、暗号化されたユーザトラフィックを除外できる柔軟性を活用してコンプライアンスを順守します。

セキュリティと安心感
最新のAES/GCMおよびDHE暗号スイートについてのサポートで完全な前方秘匿性を確保し、セキュリティを維持します。ユーザのデータがクラウドに保存されることはありません。

証明書管理の簡素化
Zscalerからの証明書または既存の証明書を使用することができます。APIを使用して、必要に応じて何度でも証明書を簡単にローテーションすることも可能です。

 

制限のある高価なアプライアンスを用いずに、暗号化されたトラフィックの検査を行う方法については、Zscaler SSL Inspectionのページでより詳しく解説しています。