Zpedia 

/ SSL復号とは

SSL復号とは

SSL復号は、完全なSSLインスペクションの流れの一環として、暗号化されたトラフィックのスクランブルを解除してサイバー脅威を確認するプロセスです。Webトラフィックのほとんどが暗号化されており、一部のサイバーセキュリティ アナリストは、マルウェアの90%以上が暗号化されたチャネルに潜んでいると推測しています。そのため、SSL復号は現代の組織にとって非常に重要なネットワーク セキュリティ機能になります。

SSL復号が重要な理由

クラウドとSaaSアプリの普及に伴い、特定のファイルやデータの文字列がある時点でインターネットを通過する可能性が高くなっています。そして、そのデータが社外秘または機密事項である場合、標的にされる可能性があるため、ユーザーとデータの安全性を確保するのに、暗号化は非常に重要な役割を果たします。現在のほとんどのブラウザー、Webサイト、クラウド アプリは、送信データを暗号化し、暗号化された接続を介してデータをやり取りしています。

暗号化で機密データを隠せるということは、脅威自体もまた同じように隠すことができるのです。そのため、効果的なSSL復号化も同様に不可欠です。その理由は、復号化されたトラフィックの内容を完全に検査したうえで、ブロックまたは再暗号化してトラフィックを続行させることができるからです。

SSLとTLSの違い

セキュア ソケット レイヤー(SSL)とトランスポート レイヤー セキュリティ(TLS)は、どちらも2つのポイント間のデータの暗号化と送信を制御する暗号化プロトコルです。では、両者の違いは何でしょうか?

現在は存続していないNetscapeが1990年代にSSLを開発し、1996年後半にSSL 3.0をリリースしました。SSL 3.0の改良版に基づくTLS 1.0は、1999年に登場しています。2018年にインターネット技術標準化委員会(IETF)によってリリースされたTLS 1.3は、本記事の執筆時点で最も新しく安全なバージョンです。現在、SSLは開発もサポートもされておらず、2015年にIETFは脆弱性(例:中間者攻撃に対する脆弱性)や重要なセキュリティ機能の欠如を理由に、SSLのすべてのバージョンは非推奨にすることを発表しました。

このように、何十年にもわたって変化してきたSSLとTLSですが、技術的な用語として厳密に使われる場合を除けば、暗号プロトコルは一括りに「SSL」と表現されることも少なくありません。言い方を変えれば、SSL、TLS、SSL/TLS、HTTPSはほとんどの場合、すべて同じことを意味します。本記事では必要に応じて、これらの用語を使い分けています。

SSL復号のメリット

SSL復号とSSLインスペクションを実装することで、エンドユーザー、顧客、データを安全に保ち、次のことが可能になります。

  • 隠れたマルウェアを検出し、ハッカーによる防御のすり抜けを阻止することでデータ侵害を防ぐ
  • 従業員が意図的または偶発的に組織外に送信している内容を把握する
  • 規制コンプライアンス要件に準拠し、従業員が機密データを危険にさらさないように徹底する
  • 組織全体のセキュリティを維持する多層防御戦略をサポートする

お客様の声

2022年10月~2023年9月の間に、Zscalerのクラウドは暗号化トラフィック(SSL/TLS)に埋め込まれた298億件の攻撃をブロックしました。これは前年比24.3%の増加で、2022年度の前年比増加率(20%)を上回るものです。

Zscaler ThreatlabZ

SSL復号の必要性

暗号化の使用が増えているにもかかわらず、多くの組織は依然としてSSL/TLSトラフィックの一部のみを検査し、コンテンツ配信ネットワーク(CDN)や特定の「信頼できる」サイトからのトラフィックは検査対象としていません。これは、以下の理由から高リスクになります。

  • Webページは簡単に書き換えできる。複数のソースから取得した何百ものオブジェクトを表示するものがありますが、そのそれぞれが脅威となる可能性があり、ソースに関わらず信頼できないものとみなす必要があります。
  • マルウェアの作成者は、不正プログラムを隠すために暗号化を使用する。現在、世界中に100以上の認証局があり、有効なSSL証明書を簡単かつ安価に取得できるようになっています。
  • ほとんどのトラフィックは暗号化されている。Zscalerのクラウドが処理するトラフィックの約70%は常に暗号化されているため、SSLトラフィックを復号する機能は非常に重要です。

では、なぜすべての組織がこれを実践しないのでしょうか?その理由は明白で、SSLトラフィックの復号、検査、再暗号化には多くの計算が必要であり、適切な技術がなければ、ネットワークのパフォーマンスに壊滅的な影響を与える可能性があるからです。ほとんどの組織にとって、ビジネスやワークフローを中断させてしまうような事態は大きな痛手となるため、処理要求に対応しきれないアプライアンスによる検査は回避するしかないのです。

SSL復号の仕組み

SSL復号とSSLインスペクションには異なるアプローチがありますが、ここでは最も一般的なものとその主な特徴を紹介します。

SSLインスペクションの方法

ターミナル アクセス ポイント(TAP)モード

次世代ファイアウォール(NGFW)

プロキシ

シンプルなハードウェア デバイスが、すべてのネットワーク トラフィックをコピーし、SSLインスペクションを含むオフライン分析を実行します。

ネットワーク接続は、パケットレベルでしか可視化できないNGFWを介してストリーミングされるため、脅威の検知が制限されます。

クライアントとサーバー間に2つの独立した接続が作成され、ネットワーク フローとセッションがすべて検査されます。

データを失うことなく、すべてのトラフィックがフル ライン レートでコピーされるようにするには、高価なハードウェア(10 GネットワークTAPなど)が必要です。

NGFWはマルウェアの一部しか認識しないため、マルウェアが断片的に配信される可能性があります。また、追加のプロキシ機能が必要であり、脅威対策などの重要な機能を有効にすると、パフォーマンスが低下する傾向があります。

オブジェクト全体を再構成してスキャンできるため、サンドボックスやDLPなどの脅威検出エンジンを追加してスキャンできます。

SSLセッションごとに新しいキーを必要とする「完全な前方秘匿」によって、遡及的なSSL検査はもはや機能しません。

TLS 1.3暗号のより高いパフォーマンスとスケールの要件により、パフォーマンスが大幅に低下します。この問題を解決するには、ハードウェアのアップグレードが必要になります。

サービスとして配信されるクラウド プロキシの場合、TLS 1.3のパフォーマンスとスケールのニーズを満たすために、アプライアンスを更新する必要はありません。

SSL復号のベスト プラクティス

SSL復号とSSLインスペクション機能の実装は、組織の安全性を確保するうえで必要不可欠です。しかし、SSLインスペクションを導入する際には、技術的な面も含めて考慮すべき重要なポイントがあります。

  • 小規模な場所またはテスト環境から始めて、担当部門が機能を理解し、意図したとおりに動作することを確認してから広範囲で有効にする。
  • トラブルシューティングを減らすために、エンドユーザー通知を更新して、新しいSSLインスペクション ポリシーをユーザーに通知することを検討する。
  • (省略可)SSLインスペクション ポリシーを定義する際に、SSLトランザクションが暗号化解除されないクラウド アプリやクラウド アプリ カテゴリーのURLやURLカテゴリーのリストを作成する。
  • 最初は、アダルト コンテンツやギャンブル関連などのプライバシーや法的リスクをもたらす危険なカテゴリーのみの検査を有効にする。その後、準備ができたら、財務と医療を除くすべてのURLカテゴリーの検査を有効にしてプライバシー侵害のリスクを軽減する。
  • 組織で使用するアプリケーションのうち、証明書のピン留めを利用するアプリケーション(特定のクライアント証明書を1つだけ受け入れるもの)に注意する。これらのアプリはSSLインスペクションでは機能しない可能性があるため、復号しない対象としてリストに含めるようにする。
  • ユーザー認証を有効にして、SSLインスペクション サービスでユーザー ポリシーを適用できるようにする。

SSLインスペクションによるプライバシーへの影響

SSL復号とSSLインスペクションは、セキュリティ衛生を劇的に向上させますが、すべてを復号するわけではありません。業界、地域、対象となる法律や規制によっては、医療データや財務データなど、暗号化を解除してはならない特定のトラフィックが関与する場合もあり得ます。その場合、接続を非公開にするためのフィルターやポリシーを構成する必要があります。

法律や規制の問題以外では、通常、リスクの軽減とユーザーやデータの安全性確保のためには、可能な限り多くのSSLトラフィックを検査する必要があります。

ZscalerとSSL復号

Zscaler Zero Trust Exchange™プラットフォームでは遅延や容量制限なく、大規模なフルSSLインスペクションが行われます。SSLインスペクションとクラウド サービスとしての完全なセキュリティ スタックを組み合わせることで、アプライアンスの制約を受けずに優れた保護を実現できます。

無制限の容量

トラフィックの需要に合わせて弾力的に拡張できるサービスで、ネットワーク内外のすべてのユーザーのSSLトラフィックを検査します。

無駄のない運用管理

すべてのゲートウェイで個別に証明書を管理する必要はありません。Zscalerのクラウドにアップロードされた証明書は、世界各地150拠点以上のZscalerのデータ センターですぐに利用できます。

きめ細かなポリシー制御

医療や金融に関連する機密性の高いWebサイトについては、暗号化されたユーザー トラフィックを除外できる柔軟性を活用してコンプライアンスを確保します。

安全性とセキュリティ

最新のAES/GCMおよびDHE暗号をサポートすることで、完全な前方秘匿性を確保し、セキュリティを維持します。ユーザーのデータがクラウドに保存されることはありません。

シンプルな証明書管理

Zscalerの証明書または組織独自の証明書を使用できるほか、APIを使用して、必要に応じて何度でも証明書を簡単にローテーションできます。

Zscaler SSL Inspectionは、高額なアプライアンスを使用することなく、暗号化されたすべてのトラフィックを無制限に検査します。

おすすめのリソース

暗号化されたトラフィックに隠れたものを検知
レポートを読む
2023年版 Zscaler ThreatLabz暗号化された攻撃の現状レポート
レポートを読む
TLS/SSLインスペクションの術策
ブログを読む