リソース > セキュリティ用語集 > SSLインスペクションとは?

SSLインスペクションとは?

SSLインスペクションとは?

SSLインスペクションとは、クライアントとサーバの間のSSLで暗号化されたインターネット通信を傍受し、検証することです。インターネットトラフィックの大部分がSSLで暗号化され、不正コンテンツも暗号化で隠されるようになっていることから、SSLトラフィックのインスペクションが不可欠になっています。

「Zscaler ThreatLabZは、2018年にSSLチャネル経由のフィッシング攻撃が2017年と比べて400%以上も増加したことを確認しました。攻撃者は引き続き、暗号化されたチャネルを悪用してマルウェアを拡散し、C&Cアクティビティを実行して、被害者から機密情報を盗み出しています。」

Zscaler™ Cloud Security Insights:SSL/TLSベースの脅威の分析、2019年

メリットとデメリット

1994年に最初に開発されたこの暗号プロトコルであるSSL(Secure Sockets Layer)とその後継のTLS(Transport Layer Security)は、通信を保護し、組織に安全なトラフィックが届くことを保証するという目標のもとに設計されました。この数年間にデータのプライバシーに対する懸念が増大し続けたため、インターネットプロパティをデフォルトで暗号化することが大きなトレンドになっています。これは、プライバシーにとっては素晴らしいことですが、ITセキュリティに新たな課題を提示するものでもあります。トラフィックの復号化、インスペクション、再暗号化は簡単ではないため、従来型のセキュリティアプライアンスのパフォーマンスが大幅に低下することから、ほとんどの組織は、大量の暗号化されたトラフィックのインスペクションを実行することができません。

サイバー犯罪者はこの事実に気付いたことで、SSLベースの脅威が増加しています。ハッカーはこれまでに、システムに侵入してデータを盗む多くの方法を見つけましたが、暗号化の突破は今も困難で時間がかかる作業であり、したがって、非効率的なアプローチです。そこで、犯罪者側も暗号化を利用することで、不正コンテンツを送り付け、マルウェアを隠し、検知されることなく攻撃を実行するようになりました。

何年もの間、WebサイトのURLアドレスの横に鍵マークが表示されていれば、そのサイトが安全であると考えられてきましたが、今では、安全を保証するものではなくなりました。暗号化されたチャネルを移動するトラフィックの安全性をデジタル証明書だけで保証するべきではありません。インターネット経由で送受信されるデータの究極の保護と期待されていたSSL(Secure Sockets Layer(SSL)ですが、今では、サイバー犯罪者の悪事が横行する場所になってしまいました。

 
現在、約半数の店舗でSSLインターセプトを使用しており、数か月以内に展開が完了する見込みです。一部の小売業向けアプリケーションはSSLインスペクションと相性が良くないため、運用を中断させないようにする必要がありました。
AutoNationのセキュリティオペレーションズ担当ディレクタ、Jeff Johnson氏
2020年6月現在、米国においてGoogle Chromeで処理されるページの96%が暗号化(HTTPS)を使用してロードされたことがわかっています。
Google透明性レポート

SSLインスペクションのプロセス

企業のトラフィックの大半は暗号化されたトラフィックですが、多くの組織が暗号化されたトラフィックの一部しかインスペクションしていないため、コンテンツデリバリネットワーク(CDN)や特定の「信頼できる」サイトからのトラフィックがインスペクションされないままになっています。しかしながら、Webページは静的ではないため、これはリスクのあることです。複数のソースから取得した数百のオブジェクトで構成されるパーソナライズされたコンテンツが動的に処理され、それぞれのオブジェクトは潜在的な脅威であるため、そのソースがどこであっても信頼できないものと考える必要があります。

サイバー犯罪者も暗号化を利用し、エクスプロイトを隠そうとしています。有効なSSL証明書の取得が容易(かつ安価)になったため、犯罪者が不正コンテンツを簡単に隠せるようになりました。その結果、Zscaler Cloudは半年でSSLトラフィックに隠された17億の脅威をブロックされました。暗号化されたトラフィックをインスペクションしないままにすると、増加し続ける潜在的な脅威を見逃してしまいます。

しかしながら前述のように、SSLトラフィックのインスペクションには多くの計算サイクルが必要であり、企業のインフラストラクチャのパフォーマンスに壊滅的な影響を与える恐れがあります。ビジネスやワークフローを停止することはできないため、多くの組織が、処理能力に限界のあるアプライアンスによるインスペクションを回避することをやむを得ず選択することになります。

SSLトラフィックのインスペクションの一般的な方法とその注意点を以下の図に示します。

SSLインスペクションの方法

TAPモード

次世代ファイアウォール(NGFW)

プロキシ

仕組み

シンプルなハードウェアデバイスが、すべてのネットワークトラフィックをコピーし、SSLインスペクションを含むオフライン分析を実行する。

ネットワーク接続が、パケットレベルの可視性のみを提供するNGFWアプライアンスを通過するため、脅威の検知が制限される。

クライアント/サーバ間に2つの独立した接続が作成され、ネットワークフローとセッションがすべてインスペクションされる。

SSLインスペクションの影響

ハードウェアTAPには、すべてのトラフィックをデータの損失なく回線速度でコピーするための高価なハードウェア(10GネットワークTAPなど)が必要になる。

マルウェアの一部しか可視化されないため、マルウェアを分割して配信できる。プロキシ機能を追加する必要がある(後付け)。一般的には、追加機能(脅威の防止など)を有効にするとパフォーマンスが低下する。

オブジェクト全体を再構成してスキャンできる。サンドボックスやDLPなどの追加の脅威検知エンジンによるスキャンが可能。

TLS 1.3を使用する場合の方法への影響

SSLセッションごとに新しい鍵が必要になる、TLS 1.3で義務化されたPFS(前方秘匿性)により、SSLを遡ってインスペクションできなくなる。

パフォーマンスがさらに低下する。新しいTLS 1.3暗号でパフォーマンスとスケーラビリティに対する要件が高くなったため、以前と同じパフォーマンスを達成するにはアプライアンスの入れ替えが必要になる。

新しいTLS 1.3のパフォーマンスとスケーラビリティのニーズの対応するにはアプライアンスの入れ替えが必要になる。

暗号化、プライバシー、データ保護の両立

ホワイトペーパーを読む(英語)
暗号化、プライバシー、データ保護の両立

無制限のSSLインスペクションを実現するZscalerのSSaaS(Security-Stack-as-a-Service)

データシートを読む(英語)
暗号化、プライバシー、データ保護の両立

企業のSSLトラフィックのインスペクション

ブログを読む(英語)
暗号化、プライバシー、データ保護の両立

ゼットスケーラーの方法

ゼットスケーラーのクラウドセキュリティプラットフォームは、レイテンシや容量の制限のない、スケーラブルな完全SSLインスペクションを可能にします。SSLインスペクションをゼットスケーラーのクラウドサービスとして提供される完全なセキュリティスタックと組み合わせることで、アプライアンスのインスペクションの制限に縛られることなく、保護を強化できます。

インバウンドおよびアウトバウンドの完全コンテンツ分析を実行し、SSLを含むすべてのトラフィックのインスペクションを実行する無制限の容量を提供します。オンネットワークとオフネットワークのどちらであっても、すべてのユーザに同一の保護が適用されます。

 

参考: