シリーズ【SSL可視化とセキュリティ】4)リモートワークが推進される中での暗号化通信の脅威対策
SSL/TLS通信の可視化による企業のセキュリティ強化について紐解く本連載。前回は、SaaSを始めとするクラウドサービス活用時代におけるネットワークセキュリティとSSL/TLS内で暗号化された脅威への対策の重要性について解説をしました。
そして新型コロナウイルス感染症(COVID-19)の広がりに伴い、政府や地域行政からもリモートワークが推進されました。日本国内ではワクチン接種率が向上し、その効果からか毎日の新規感染者数は激減しています。しかしながら、デルタ株の終息と共にオミクロン株が登場するなど、変異を続けた結果、弱毒化または無毒化するまではこの状況はしばらく続くのでしょう。(その間にまた新たな感染症が登場するかもしれないのですが…)
さて、本題に戻りましょう。
リモートワークのような環境下では従来の境界型防御が適用しづらいことから、SSL/TLS通信の可視化をどこで、どのように実施するか考慮する必要があります。
今回は、新しい生活様式における企業活動として必要となっているリモートワーク環境下でどのように暗号化通信の脅威対策を取るかについて概説します。
この記事の目次
リモートワーク環境下で暗号化通信の可視化
リモートワーク環境下にあるクライアントとインターネット間のSSL/TLS通信を可視化し、セキュリティ機器で検査するには、大別すると以下の3つの方法があります(図 1)。
- クライアントと自組織のデータセンターをVPN等で接続し、データセンター内でインターネット向けのSSL/TLS通信を可視化し、セキュリティ装置で検査する方法
- インターネット接続可能なIaaS(Infrastructure as a Service)上にSSL/TLS可視化と検査を実施することができる基盤を構築し、組織外のクライアントにそこを経由してインターネットにアクセスさせる方法
- SASE(Secure Access Service Edge)やSDP(Software Defined Perimeter)と呼ばれるサービスまたは機能を利用し、SSL/TLS通信可視化と検査を実施する方法
図1:SSL/TLS通信可視化を実施するポイント
方法①:データセンターでの暗号化通信の可視化
1つ目に挙げた、SSL-VPNやIPsec-VPNなどのVPNで自組織のデータセンターに接続する方式は、現状のリモートワーク環境下でも組織外から組織内のデータにアクセスするために広く利用されています。インターネットやクラウドサービスへのアクセスもここを経由させ、データセンター内にSSL/TLS可視化製品やSSL/TLS通信可視化が可能なセキュリティ機器を配置することで、クライアントとインターネット間のトラフィックを可視化・検査することができます。
この方法は、SSL/TLS通信可視化をハードウェア機器で処理することができるため、より高速な処理を大規模な集約効率で実施できるだけでなく、既存のセキュリティポリシーをそのまま適用できる利点があります。
また、機微な情報を含む、復号されたSSL/TLS通信の内容(例えば図2のようなアカウント名/パスワードの内容を含む情報など)を自組織のデータセンター内に留めておくことができることも一つの利点と言えるでしょう。
図2:SSL/TLSを復号し可視化した通信の例
ただし、全ての通信が自組織のデータセンターを経由するため、クライアントとデータセンターの(インターネット上での)位置関係によってはクライアントとインターネット間の通信遅延が大きくなり、Webサイトやクラウドサービスへのアクセスが遅くなったり、サービスの品質が落ちたりすることがあるので注意が必要です。
特にリアルタイム通信が必要なビデオ会議などのクラウドサービスの場合、サービスによっては通信遅延が100msを超えると大きく品質が落ちるものもあります。
方法②:IaaS上でのSSL/TLS可視化の利用
2つ目に挙げたIaaSを用いる方法は、組織外にあるクライアントがIaaS上に仮想マシンとして配備したSSL/TLS通信可視化装置を通過してインターネットに接続するようにします。多くのIaaS事業者は地理的にも複数のIaaS基盤を持っているので、広域負荷分散技術などを用いてクライアントからのアクセスが最寄りのIaaS基盤を経由する形をとることもできます。これにより、(厳密にはIaaS基盤のインターネット上の位置に依存するものの)1つ目の方法と比べるとより低遅延でのインターネットアクセスが実現できることが期待されます。
また、1つ目の方法と同様に、(他者が運用しサービス提供しているIaaS上ではあるものの)復号された通信に含まれる機微な情報を自組織の管理下に留めておくことができます。データセンターに構築していたセキュリティポリシーをそのまま移植しやすかったり、海外の拠点があるIaaSであれば海外向けにも展開しやすかったり、利用するセキュリティ機能を組織に合わせて取捨選択しやすかったりする利点もあります。
その一方、IaaSへの基盤構築はデータセンターでの基盤構築と同様に構築コストと運用コストがかかることに留意しなくてはなりません。また、一般的にはIaaSで利用する仮想マシンでSSL/TLS通信可視化を行う場合は、専用のチップなどを搭載したハードウェア機器で行う場合に比べてSSL/TLSの復号処理の性能が多きく低下するため、多くの仮想マシン台数が必要になる点に気を付ける必要があります。
方法③:SASEやSDPのSSL/TLS可視化機能の利用
3つ目に挙げた方法では、SASEやSDPの持つSSL/TLS可視化の機能を利用します。
SASEは、Gartner社が2019年に「The Future of Network Security Is in the Cloud」というレポートで定義したネットワークセキュリティモデルです。
あらゆる場所からのネットワークセキュリティを担保するために、Webサイトにアクセスするためのセキュリティを提供するゲートウェイ機能や、クラウドサービスのアクセスを評価し制御するCASB(Cloud App Security Broker)と言われる機能、ファイアウォール機能やID管理と動的な認証を行うゼロトラストアーキテクチャの考え方、およびクラウドへの安全なアクセスとメッシュ型のネットワークなどをクラウド上で包括的に提供するサービスまたは仕組みのことを指します。従来の境界防御で用いていたセキュリティの仕組み+αをクラウド上で提供し、どの場所にあるクライアントからも利用できるようにしたものと言っても良いかもしれません(前述の2つ目の方法の拡張とも言えます)。
一方、SDPという考え方は、非営利団体であるCSA(Cloud Security Alliance)が標準化を策定している考え方で、特定のリソース(例えば社内向けのサービスを提供するWebサーバー)にアクセスするための境界をソフトウェア上で構築し、アクセス制御に関わる設定を動的に変更して安全にデータを転送する技術であり、よりゼロトラストアーキテクチャの考え方に基づいた技術になります。
ゼロトラストアーキテクチャは、ユーザーやクライアントを常に信頼するという前提を廃し、一度認証されたユーザーやクライアントも盲目的に信頼し続けることなく、それらの信頼度を計測し、動的に認証・認可を行うことでセキュリティを担保する戦略になります。
ユーザーやクライアントの振る舞いを全て把握する必要があることから、ゼロトラストアーキテクチャの実現においてもSSL/TLS通信の可視化は重要になります。
SASEやSDPの機能を提供する製品やサービスを利用する際には、組織外にあるクライアントやユーザーはインターネットを経由してこれらの製品やサービスに接続し、インターネット上のWebサイトやクラウドサービス、社内システムなどのリソースにアクセスします(製品によっては自組織のデータセンターに配置して利用できるものもあります)。この際にSSL/TLS通信の可視化とセキュリティポリシーの適用が可能です。
サービスで提供されている場合はSSL/TLS可視化の性能も必要に応じ拡張されます。また、製品やサービスによってはクライアント側にインストールするエージェントを提供しており、このエージェントがSASEやSDPまでの通信をIPsec-VPNなどで暗号化したり、SSL/TLS通信の可視化に必要な証明書をクライアントへ自動でインストールを自動してくれたり、自動的にアプリケーションを識別して通信経路を変えてくれたりします。サービスによっては複数の拠点で提供されており、クライアントの地理的な位置に従って最適な通信経路を選択してくれます。各種クラウドサービスと直接ネットワーク接続されているサービスもあり、高速で安定したクラウドサービスの利用も実現します。
SASEなどをサービスとして利用すると自組織で設備を運用する必要がなく便利である一方で、図 2のような機微な情報を含むSSL/TLS通信の可視化が自組織の範疇外で行われることになることから、そのことを許容するかどうか組織ごとに業務上の可否判断が必要になります。また、SSL/TLS可視化後に適用できるセキュリティ機能も製品やサービスによって差異があるため、例えばフォレンジックや標的型攻撃防御のためにパケットキャプチャを実施したいなどの要件がある場合にはそのまま利用できないこともあり注意が必要です。既存のネットワーク構成を完全に見直して移行する必要がある場合もあるので、既存のセキュリティポリシーなどからの移植性や、将来、新しいサービスから他のサービス/製品に移行可能かどうかも検討しておく必要があります。
本連載の第3回、第4回では、クラウドサービス活用時代におけるネットワークセキュリティの重要性とリモートワークが推進される中でのSSL/TLS通信可視化と検査を実施する代表的な手段と利点・問題点について紹介しました。
組織ごとに現状のネットワーク構成や置かれている状況は異なるかと思いますので、読者の皆様が自組織に最適な方法を選択する一助となれば幸いです。
石塚 健太郎(いしづか けんたろう)
A10ネットワークス株式会社
・ソリューションアーキテクト
・博士(情報学)
マルチクラウドやクラウドサービスの活用に繋がるソリューションの開発・提案を担当し、SSL可視化ソリューションについても、国内シェア1位を誇る同社の知見を日本企業に展開している。