SSL/TLS通信の可視化による企業のセキュリティ強化について紐解く本連載、前回は、SSL/TLS通信が一般化した背景とそれに伴う暗号化を悪用した脅威の増加について解説しましたが、今回は、その脅威に対抗するために必要なSSL/TLS通信の可視化を実現するためのソリューションと導入のポイントについて解説します。

■SSL/TLS通信に対する防御の問題と課題

前回述べたように、ネットワーク経由での攻撃をSSL/TLSで暗号化されてしまうと、これまで構築してきた多層防御の仕組みが十分に働かなくなってしまいます。
従来のセキュリティ機器がSSL/TLS通信を利用した攻撃に対してどのように対処できるかは、以下に分類されます。

• SSL/TLS通信を検査する機能を持っていない
• SSL/TLS通信そのものに対し限定的な検査能力を提供できる
• SSL/TLS通信を復号（暗号化を戻す）して検査する能力を持つ

通信をミラーポートで受信してパケットキャプチャや検査を行うサンドボックス製品や標的型攻撃（Advanced Threat Protection；ATP）防御製品、SIM/SIEM製品などは①に該当し、SSL/TLSで通信が暗号化されていると通信を検査できず、キャプチャしたパケットにも暗号化された通信のみが記録されるため、十分な機能を果たせなくなります。

ATP防御製品やIPS/IDS、ファイアウォールのようなセキュリティ機器には、②のようにSSL/TLS通信を復号せずに限定的な検査能力を提供するものもあります。
例えば、HTTPS通信の場合でも、URLのトップドメインや宛先IPアドレス、サーバー証明書のドメイン名やパケットサイズ、通信の頻度、フローなどは復号せずに確認できるため、トップドメインを用いたURLフィルタリングや悪意のあるIPアドレスの情報（IPアドレスレピュテーション）に基づく宛先IPアドレスの検査、サーバー証明書の正当性の確認、パケットフローに基づく動作の推定などは行えます。

ただし、トップドメイン以下のアクセス先や実際に実行された通信内容（ファイルのダウンロードなのかアップロードなのか、どのような情報をやりとりしたのか）を検査できないため、限定的な検査に留まってしまうことは否めません。

また、ファイアウォール製品やプロキシサーバー製品の中には、上記の③のようにSSL/TLS通信を復号してその内容を検査できる製品があります。
SSL/TLS通信を一度復号して検査をし、再暗号化して通信することから、十分なセキュリティを確保できますが、多くの場合、SSL/TLS通信の復号時に通信パフォーマンスが大幅に低下します。
しかしながら、基本的に外部の機器に復号した通信を渡す機能を持たないため、多層防御を行っている場合には複数の機器でSSL/TLSの復号と再暗号化を行う必要があり、同じ処理を複数の機器で動作させる無駄に加え、通信遅延が発生します。

では、これらの問題を解決するにはどんな方法があるのでしょうか。

 

■SSL/TLS可視化製品による効果的な防御

従来のセキュリティ機器ではネックとなる、SSL/TLSを復号した検査を効率的に実施するための専用機器として、SSL/TLS可視化（SSL/TLSインターセプト）製品があります。専用OSを利用し、専用ハードウェアにSSL/TLSの復号と暗号化の処理をオフロードすることで、大量のSSL/TLS通信を高速に処理することができます。
このような機器を用いて復号されたSSL/TLS通信は、外部のセキュリティ機器で検査できるため、既存のセキュリティ機器の性能をこれまで通り十分に発揮できることになります。
さらに、セキュリティ機器よりも安価なため、追加投資も抑え、既存のセキュリティ機器への投資保護にもつながると言えるでしょう。

日本国内において最も大きいマーケットシェアを持つA10ネットワークス社の代表的なSSL/TLS可視化製品に「A10 Thunder CFW」がありますが、“SSLインサイト”という名称でソリューションが提供されています。
以下の図では、この「A10 Thunder CFW」の使用を例に、SSL/TLS可視化製品を用いたSSL/TLS可視化の仕組みを解説します。

図：SSL/TLS可視化製品の動作

 

クライアントからインターネット上のサーバーへのSSL/TLS通信の通信リクエストが届くと、A10 Thunder CFWが通信をインターセプトし、宛先サーバーの証明書に自己証明書で署名をした証明書を用いてクライアントとハンドシェイクを行い、SSL/TLS通信を復号します（図内①）。

この場合、クライアントとA10 Thunder CFWには自社利用のために作成した共通の証明書をインストールしておく必要があります。クライアントへの証明書のインストールは手動で行うこともできますが、Active Directoryやデバイス管理ソフトウェアなどで自動配布することもできます。

次に復号されたSSL/TLS通信をセキュリティ機器で検査（図内②）することで、リクエストに含まれる不正な通信をこれまで通り検査できます。

検査後の平文のトラフィックを再度A10 Thunder CFWでインターセプトし、クライアントに成り代わって宛先サーバーとのハンドシェイクを行って通信をSSL/TLS暗号化して送信します（図内③）。

宛先サーバーから戻ってくるレスポンスに対してもA10 Thunder CFWがクライアントとして復号し（図内④）、セキュリティ機器で復号された通信の検査（図内⑤）を行った後、A10 Thunder CFWが通信を再暗号化してクライアントに返送します（図内⑥）。

この図では説明の都合上2台のThunder CFWを描いていますが、物理的には1台で構成されます。

尚、今回の構成図ではインラインで平文区間に挿入されるファイアウォールなどを想定した構成を描いていますが、ミラーポートでATP防御製品/サンドボックス/SIEM製品/フォレンジック製品などに復号した通信をミラーすることもできますし、ICAPを通じてURLフィルタ製品やウィルス対策製品などとも連携できます。

このように一度の復号で複数のセキュリティ機器での検査が可能なことから、SSL/TLS復号と再暗号化による通信遅延も最小に抑えられます。

また、機微な情報を扱うWebサイト（金融や健康情報など）への通信をSSL/TLS可視化対象から除外したり、特定の宛先だけを可視化したりする構成も可能です。

 

■SSL/TLS可視化製品の導入のポイント

このようなSSL可視化機器を導入する際に検討する際には、時間当たりにどのくらいの新規SSL/TLSコネクションを処理できるか（Connection per second; CPSなど）、どのくらいの通信容量を処理できるか、どのようなセキュリティ機器とどのように連携させるか（インライン/ミラー/ICAPなど）、柔軟なネットワーク構成が取れるか（既存のネットワーク構成を変えずに導入できるか）、そしてもちろん機器の価格などが、導入時の注意すべきポイントとなります。

また、復号された通信は本来暗号化されるべき重要な情報を含んでいるため、ログの保管やSIEM製品/フォレンジック製品へのデータ保存やアクセス管理などにも留意すべきです。

SSL/TLSを可視化してネットワークセキュリティを強化することで、エンドポイントセキュリティだけでは検知できない脅威も、より正確に検知できるようになります。

 

今後、企業のセキュリティ強化を行う際には、SSL/TLS可視化製品の導入も含めて検討する必要があると言えるでしょう。

 

---

石塚 健太郎（いしづか けんたろう）

A10ネットワークス株式会社
・ソリューションアーキテクト
・博士（情報学）

マルチクラウドやクラウドサービスの活用に繋がるソリューションの開発・提案を担当し、SSL可視化ソリューションについても、国内シェア1位を誇る同社の知見を日本企業に展開している。

---