SSLインスペクションとは

SSLインスペクションが重要な理由

SaaSアプリやクラウドの普及に伴い、より多くのデータがインターネットを通過するようになったことで、セキュリティのリスクは拡大の一途をたどっています。こうした状況から、暗号化は機密データを安全に保つうえで不可欠な要素となっており、現在ではほとんどのブラウザー、Webサーバー、クラウド アプリが送信データを暗号化して、HTTPS接続を介してデータを交換しています。

HTTPSトラフィックに隠れることができるのは、機密データだけではありません。脅威も同じようにその身を隠すことができます。だからこそ、復号されたトラフィックをブロックまたは再暗号化する前に、その内容を完全に検査したうえでトラフィックを続行させる効果的なSSLインスペクションを実装する必要があります。

SSLとTLSの違い

セキュア ソケット レイヤー(SSL)とトランスポート レイヤー セキュリティ(TLS)は、どちらも2つのポイント間のデータの暗号化と送信を制御する暗号化プロトコルです。では、両者の違いは何でしょうか？

現在は存続していないNetscapeが1990年代半ばにSSLを開発し、1996年後半にSSL 3.0をリリースしました。SSL 3.0の改良版に基づくTLS 1.0は、1999年に登場しています。2018年にインターネット技術標準化委員会(IETF)によってリリースされたTLS 1.3は、本記事の執筆時点で最も新しく安全なバージョンです。現在、SSLは開発もサポートもされておらず、IETFは2015年、中間者攻撃などに対する脆弱性や重要なセキュリティ機能の欠如を理由に、SSLのすべてのバージョンの使用を非推奨にすることを発表しました。

このように、何十年にもわたって変化してきたSSLとTLSですが、技術的な用語として厳密に使われる場合を除けば、暗号プロトコルは一括りに「SSL」と表現されることも少なくありません。言い方を変えれば、SSL、TLS、SSL/TLS、HTTPSはほとんどの場合、すべて同じことを意味します。本記事では必要に応じて、これらの用語を使い分けています。

SSLインスペクションの仕組み

SSL復号とSSLインスペクションには異なるアプローチがありますが、ここでは最も一般的なものとその主な特徴を紹介します。

より具体的な説明として、Zscalerプラットフォーム上でどのように動作するのかを見てみましょう。ZscalerでSSLインスペクションを有効にした場合、プロセスは次のようになります。

1. ユーザーがブラウザーを開いてHTTPSリクエストを送信します。
2. ZscalerサービスがHTTPSリクエストを捕捉します。サービスは、別のSSLトンネルを介して独自のHTTPSリクエストを接続先のサーバーに送信し、SSLネゴシエーションを実行します。
3. 接続先のサーバーが証明書と公開キーをZscalerサービスに送信します。
4. Zscalerサービスと接続先のサーバーがSSLハンドシェイクを完了します。アプリケーションのデータと以降のメッセージは、SSLトンネル経由で送信されます。
5. ZscalerサービスがユーザーのブラウザーとSSLネゴシエーションを実行し、Zscalerの中間証明書または組織のカスタム中間ルートとZscalerの中間CAによって署名されたサーバー証明書をブラウザーに送信します。その後、ブラウザーがブラウザーの証明書ストアで証明書チェーンを検証します。
6. ZscalerサービスとブラウザーがSSLハンドシェイクを完了します。アプリケーションのデータと以降のメッセージは、SSLトンネル経由で送信されます。

SSLインスペクションのメリット

SSLインスペクションを実装することで、エンド ユーザー、顧客、データを安全に保ち、次のことが可能になります。

• 隠れたマルウェアを検出し、ハッカーによる防御のすり抜けを阻止することでデータ侵害を防ぐ
• 従業員が意図的または偶発的に組織外に送信している内容を把握する
• 規制コンプライアンス要件に準拠し、従業員が機密データを危険にさらさないように徹底する
• 組織全体のセキュリティを維持する多層防御戦略をサポートする

SSLインスペクションの必要性

現在、大半のWebトラフィックが暗号化されているため、SSLインスペクションは現代の組織にとって重要なネットワーク セキュリティ機能となっています。一部のサイバーセキュリティ アナリストは、マルウェアの90%以上が暗号化されたチャネルに潜んでいる可能性があると推定しています。

このように暗号化が一般的になりつつあるにもかかわらず、多くの組織は依然として一部のトラフィックに対してのみSSL/TLSインスペクションを実施し、「信頼できる」特定のソースからのトラフィックは検査の対象外にしています。しかしこれは、目まぐるしく変化するインターネットの世界においては危険といえます。例えば、Webサイトは動的に配信され、複数のソースから取得した何百ものオブジェクトを表示できますが、そのそれぞれが脅威となる可能性もあるのです。

また、マルウェアの作成者が不正プログラムを隠すために暗号化を利用するケースも増えています。現在、世界中に100以上のSSL認証局があり、有効な署名済み証明書を簡単かつ安価に取得できるようになっていますが、Zscalerのクラウドが処理するトラフィックの約70%は常に暗号化されているため、SSLトラフィックを検査する機能は非常に重要です。

では、なぜすべての組織がこれを実践しないのでしょうか？その理由は明白で、SSLトラフィックの復号、検査、再暗号化には多くの計算が必要であり、適切な技術がなければ、ネットワークのパフォーマンスに壊滅的な影響を与える可能性があるからです。ほとんどの組織にとって、ビジネスやワークフローを中断させてしまうような事態は大きな痛手となるため、処理要求に対応しきれないアプライアンスによるHTTPS検査は回避するしかないのです。

暗号化と最新の脅威の現状

データ プライバシーに対する懸念が高まる中で、暗号化をデフォルトで行う傾向が強まりつつあります。これはプライバシーの観点からは良い兆候といえますが、技術的な要件や必要となるハードウェアの価格の問題は、多くの組織にとって非常に大きな負担となります。こうした背景が、暗号化されたトラフィックを大規模に検査する体制を整えられないという事態を招いています。

脅威アクターはこの状況を把握しているため、SSLベースの脅威は増加し続けています。暗号化の突破は、システムに侵入してデータを盗むためにさまざまな方法を生み出してきたハッカーにとっても難しく、時間がかかるため、効率的な手法とはいえません。代わりにハッカー側も暗号化を利用することで、悪意のあるコンテンツを配布したり、マルウェアを隠したり、検知されることなく攻撃を実行したりするようになっています。

長年、WebサイトのURLアドレスの横に錠前または鍵のマークが表示されていれば、そのサイトは安全とみなされてきました。しかし最近では、このマークがある場合でも安全とは言い切れなくなっています。暗号化されたチャネルを移動するトラフィックは、デジタル証明書だけを理由に信頼されるべきではありません。かつてはインターネット上で送受信されるデータに対する究極の保護として期待されたSSLですが、いまではサイバー犯罪に広く利用されるまでになっています。

ZscalerとSSLインスペクション

Zscaler Zero Trust Exchange™プラットフォームでは遅延や容量制限なく、大規模なフルSSLインスペクションが行われます。SSLインスペクションとクラウド サービスとしての完全なセキュリティ スタックを組み合わせることで、アプライアンスの制約を受けずに優れた保護を実現できます。

無制限の容量

トラフィックの需要に合わせて弾力的に拡張できるサービスで、ネットワーク内外のすべてのユーザーのSSLトラフィックを検査します。

無駄のない運用管理

すべてのゲートウェイで個別に証明書を管理する必要はありません。Zscalerのクラウドにアップロードされた証明書は、世界各地150拠点以上のZscalerのデータ センターですぐに利用できます。

きめ細かなポリシー制御

医療や金融に関連する機密性の高いWebサイトについては、暗号化されたユーザー トラフィックを除外できる柔軟性を活用してコンプライアンスを確保します。

安全性とセキュリティ

最新のAES/GCMおよびDHE暗号をサポートすることで、完全な前方秘匿性を確保し、セキュリティを維持します。ユーザーのデータがクラウドに保存されることはありません。

シンプルな証明書管理

Zscalerの証明書または組織独自の証明書を使用できるほか、APIを使用して、必要に応じて何度でも証明書を簡単にローテーションできます。