Webサイトを常時 SSL (※)化にあたり、インフラ管理者が押さえておかなければならない知識や注意点と対策について紹介します。

 

(※) SSL(Secure Sockets Layer)/TLS(Transport Layer Security)とは、ネットワーク上での通信を安全にするための暗号化技術です。SSL/TLSを利用してクライアントとサーバ間の通信データを暗号化することで、第三者によるデータの盗聴や改ざんを防ぐことができます。

 

 

 

サイバー攻撃に悩むインフラ担当者の方へ

SSLを悪用した攻撃が増加。
対策のカギは
SSLの可視化
にあり!

常時SSL化とは?

 

常時SSL化とは、Webサイト内の全ページを HTTPS通信の対象とし安全性を高めるという意味使われています。

常時SSL化を推奨する動きは2011年ごろから徐々に始まりました。公衆無線LANなどのWi-Fi接続環境が普及する事で、HTTPでは保護されないCookieの盗聴などのリスクを防ぐ方法として提唱されはじめました。

 

なぜ、SSLトラフィックが増加していくのか?

 

SSL通信のトラフィック量は年間30%の拡大規模で進むといわれています。

 

これ程 SSL通信が増加する背景には何があるのでしょうか?

 

大手有名Web サイトが常時SSL化の採用を促進することで、他のサイトのトレンドへ

Google, Facebook, Twitterなどのサービスが常時SSLを導入し、ユーザが安心して利用できるセキュアな環境づくりを始めました。この流れを受けて日本の金融機関や政府機関のWebサイトを皮切りに常時SSL化の採用が広まっています。

  • 参考
  • Twitter  →           2012年2月に開始
  • Google検索  →   2012年3月に開始
  • Facebook  →      2012年11月に開始

 

マーケティング担当者からのSEO対策要望

2014年8月に、Googleはウェブマスター向け公式ブログにて、Webサイトが常時SSL化が施されているか否かを検索順位の決定要因に含めることを発表しました。Googleの検索結果のランキングは、マーケティング担当者にとってWebサイトの集客に直接影響を及ぼすために、インフラ担当者に常時SSL化への要望が上がるケースが増えています。

 

Apple iOS9 ATS(App Transport Security)への取組み

Apple社がリリースしたモバイルOS iOS9には、「ATS(App Transport Security)」が実装されます。ATSを有効にしている場合、HTTPでの通信は許可されていません。またAppleが推奨する条件を満たさない接続さえできません。条件とはTLSのバージョンが1.2 以上であること、接続時には一定の暗号スイートを使用すること、サーバ証明書の条件としては、SHA256 以上のフィンガープリント、2048 ビット以上のRSAキー、もしくは 256 ビット以上のElliptic-Curve (ECC) キーを持つ証明書であることが条件です。

現時点(201511月)では、接続失敗の状態を解消したければ、ATSそのものを無効にすること、あるいは特定のドメインに対して、ATSを無効にするという方法で回避可能です。しかしながら、Webサイト運営者としては、自社のWebサービスを常時SSL化に対応させることで、この問題を回避する事が適切な対応と言えます。特に、Eコマースやゲームコンテンツ等のWebサービスはすばやい対応が必須のサイトといえます。今後、Webサイトを運営していくには、常時SSL化を採用しユーザの利便性や安全性を図ることが必要になるでしょう。

 

HTTPの新たな動き : HTTP/2

2015年2月17日に正式な仕様として承認されたHTTP/2。1999年にHTTP 1.1が規定されて以来、14年ぶりの改訂となりました。HTTP/2とは、簡単に言ってしまえば、HTTP 1.1と比べると安全性と高速性の向上を目指した仕様になっています。

HTTP/2はGoogleが考案したSPDYプロトコルをベースとしており、SPDYSSL上でHTTPの転送効率を向上させる仕組みを提供しました。HTTP/2では、SSL接続が必須という仕様にはなっていませんが、クライアントブラウザのFirefox や Chr

HTTP/2の実利用は、GoogleやTwitterなどの大手Webサービスで始まっています。現時点では、多くのサービスが利用しているとは言えませんが、主なサーバソフトウェアやブラウザの実装は終わっており、今後採用の加速が期待されています。

サービスが利用しているとは言えませんが、主なサーバソフトウェアやブラウザの実装は終わっており、今後採用の加速が期待されています。

常時SSL化が引き起こす落とし穴とは?

 

では、常時SSL化は全ての課題を解決するのでしょうか?

常時SSL化を進める事は、通信内容を第三者に盗ませないという目的については極めて有効な手段です。
しかし、インフラ担当者は常時SSL化の負の側面を理解しておく必要があります。
常時SSL化が進む一方、SSL通信を攻撃の隠れみのに悪用した攻撃は年々増加しているという事実があります。
Gartnerは、『2017年にはネットワーク攻撃の50%がSSL化される』と予測しています。

 

通常、企業では次世代ファイアウォール、標的型攻撃対策用のサンドボックス製品、IPSWAF、DLP等のセキュリティ製品を導入し、機密情報の流出をさせない為に多層的な防御対策を講じています。
しかしながら、こうしたセキュリティ製品もSSLで暗号化された通信内容を復号化した後で精査をしなければ不正な攻撃を検知することはできません。

例えば、最近の標的型攻撃はこのSSL暗号の特性を悪用し、社内ネットワークに侵入し外部のC&Cサーバとの通信にもSSL通信を行うといった巧妙な手法で企業が用意した多層的なセキュリティ対策をかいくぐって重要情報を盗み出しています。
つまり、常時SSL化によりSSL通信が増えれば増える程、新たな脅威が増える脅威がつきまといます。

必要な対策とは?~SSL通信の可視化とその課題~

 

インフラ担当者がすべき対策は「SSL通信の可視化」です。

データの中身をセキュリティ製品が検査できない原因は、SSLにより暗号化されているためです。SSL通信の中身を一旦復号化し、可視化した後に検査すれば、SSL通信を悪用した攻撃を防ぐ事が可能になります。
ただし、SSL通信の可視化を実施する場合、セキュリティ製品によってはSSL通信の号化機能を持ち合わせていなかったり、機能はあっても、 SSL暗合化/合化の負荷が高い為に、性能が極端に低下するという問題を抱えてしまいます。

暗号化/復号化処理は暗号鍵の長さ(1024bit、2048bit、4096bit)が長い程、CPUリソースを消費します。以前では鍵長は1024bitが一般的でしたが、現在では2048 bitの採用が主流です。
さらに高いセキュリティが求められるケースでは、4096 bitが用いられています。
一般に鍵長を
1024bitから2048bitへ増やすとCPUのは47倍増えるといわれ、パフォーマンスは80%ほど低下してしまいます。
鍵長を1024bitから4096bitへ増やすと約17倍の負荷がかかってしまいます。
常時SSL化により対象となるSSL通信が増加傾向にある今、この処理負荷はさらに大きな負担となります。

このSSL暗合化/合化処理の負荷対策として有効なのが、SSLの暗号化/合化専用のハードウェアを搭載したハードウェアアプライアンス製品へ処理をオフロードする方法です。
このようなアプライアンスは、汎用CPUにとって負荷の大きい暗合/復合化処理をASICなどの専用ハードウェアに処理を任せることでパフォーマンス劣化を防ぐ仕組みを持ち合わせています。

F5がどう解決するか

 

F5のハードウェアアプライアンス(BIG-IP/VIPRION)は、常時SSL化により増加するSSL通信を可視化するのに最適な製品です。

F5は高速にSSLの暗合化/復合化処理を行う為の専用ハードウェアを設計、製造しています。
その為、インバウンドあるいはアウトバウンドのSSL暗合化/復合化を高速に処理し可視化する事ができます。
パフォーマンス低下等の理由でSSL通信を検査する事が難しかったセキュリティ製品(標的型攻撃対策製品、次世代IPS等)と連携することで、暗号化トラフィックの検査が可能になります。

F5ソリューションの特徴

 

インハウスでハードウェアの設計を実施

多くのADCベンダーは、汎用のサーバハードウェアにベンダー独自のOSをインストールする事でアプライアンス製品として販売しています。このような、安易なハードウェアとソフトウェアの統合は、ADC処理に必要されないハードウェア(例:ビデオカード等)部品が含まれており、信頼性の低下につながります。

F5は、OSは当然の事ながらハードウェアも社内で設計し、ADCとして必要とされる処理(SSL暗復号化処理を含む)に最適化されたハードウェアアプライアンスを開発しています。

 

iRulesを使ったSSL通信のトラフィックコントロール

iRulesとは、F5の専用OS TMOSに標準で提供されるプログラミング言語です。 このiRulesを利用することで、SSL通信を検査しSSL自体の脆弱性(Heartbleed)等が発見された場合などに柔軟に対応する事が可能です。

 

豊富なアプリケーションデリバリ機能を単一プラットフォームで提供

F5のBIG-IPは、SSLの暗号化/復号化処理だけでなく、ファイアウォール、WAFSSL VPNVDIプロキシ、シングルサインオンなど、企業がアプリケーションを安全にデリバリするための機能を単一のプラットフォームで提供しています。ユーザは、各機能毎に個別にデバイスを配置する必要がないく、投資コストや運用管理コストを軽減しながら、セキュリティポリシーの集約できます。

 

セキュリティ製品とのすぐれた連携

標的型対策製品のリーダーであるFireEyeやCisco社の次世代IPS SouceFireとの連携することで最新の脅威を可視化し保護するソリューションを豊富に提供しています。

おすすめ記事

 

あなたの会社のWebセキュリティは本当に大丈夫?

F5のWAFはガートナーの2017年版マジック・クアドランドのWEBアプリケーションファイアウォール分野でリーダーに選ばれています。


常時SSL化の落とし穴 インフラ担当者が押さえておくべき対策とは

Webサイトを常時 SSL化するにあたり、インフラ管理者が押さえておかなければならない知識や注意点と対策について紹介します。


次のステップ


BIG-IP プラットフォームの
製品情報を確認する
製品情報
無料のフル機能版
評価ライセンスの入手
無料トライアル

​​">​​

お問い合わせ