SSLインスペクションとは?

HTTPSでSSL/TLSを使用すると、機密情報を含むWebトラフィックのセキュリティが提供されます。 これはユーザーのプライバシーにとって価値がありますが、サイバー犯罪者にとっても有用です。 マルウェアは、コマンド&コントロール通信を隠すためにHTTPSを使用することが増えています。

 

SSL/TLSは、暗号化を使用して他の安全でないプロトコルに追加のセキュリティを提供するように設計されたネットワークプロトコルです。 SSLインスペクション機能は、Webトラフィックを保護するためにHTTPSで一般的に使用されていますが、マルウェアによるHTTPSの広範な使用により、SSLインスペクション機能は組織のサイバーセキュリティ戦略の不可欠なコンポーネントになっています。

NGFW Buyer’s Guide

SSLインスペクションとは?

HTTPSとは何ですか?

HyperText Transfer Protocol Secure(HTTPS)は、安全なWebを可能にするものです。 Web を閲覧するとき、アドレス バーに鍵のアイコンがある Web ページは、HTTPS を使用して、ページを要求しているコンピューターとページが保存されているサーバーの間で通信しています。

HTTPとHTTPS

HTTPSは、基本的なHTTPプロトコルの安全なバージョンです。 HTTPは、クライアントコンピュータとWebサーバーが相互に通信する方法を定義することで、Webの閲覧を可能にするように設計されています。

 

HTTPの主な制限は、完全に安全ではないことです。 HTTPを介して伝送されるすべてのトラフィックは、HTTPを盗聴している人なら誰でも読み取ることができます。 ウェブにはますます多くの機密情報(eコマース、オンライン健康記録、ソーシャルメディアなど)が含まれているため、ユーザーの機密情報が危険にさらされています。

 

HTTPSは、トランスポート層セキュリティ(TLS)プロトコル(以前はSecure Sockets Layer(SSL)と呼ばれていました)を使用して、HTTPにセキュリティを追加します。 SSL/TLSを使用すると、HTTPSはWebサーバーのIDを検証し、クライアントとサーバー間を流れるすべてのトラフィックを暗号化できます。

HTTPSはどのように機能しますか?

HTTPS は、連携して動作する 2 つのプロトコルとして実装されます。 SSL/TLSは、クライアントとサーバーの間に暗号化された接続を作成するために使用されます。 これが完了すると、HTTPトラフィックは暗号化され、SSL/TLSパケットのデータセクションに埋め込まれることにより、このトンネルを介して送信されます。 宛先では、他のコンピューターがデータを復号化し、HTTP プロトコルに基づいて処理します。

 

これを可能にするには、クライアントとサーバーが暗号化用の共有秘密鍵を持っている必要があります。 SSL/TLSは、クライアントとサーバーが暗号化に使用するパラメータ(アルゴリズムなど)に同意し、非対称または公開鍵暗号を使用して秘密鍵を共有し、盗聴から保護するハンドシェイクプロトコルを使用してこれを作成します。

SSL/TLSの利点

SSL/TLSを使用すると、HTTPSはHTTPよりも遅くなり、効率が低下します。 ただし、このプロトコルには、次のようないくつかの重要な利点もあります。

 

  • プライバシー: HTTPSは、ユーザーのWebトラフィックを暗号化し、データのプライバシーを確保します。 Perfect Forward Secrecy(PFS)では、セッション終了後に削除されるランダムな値を使用して、将来キーが漏洩した場合にメッセージが復号化されないように保護します。
  • データの整合性: HTTPS は、メッセージ認証コード (MAC) を使用して、データが転送中に変更されていないことを確認します。 これにより、送信エラーと悪意のある変更の両方から保護されます。
  • 認証: SSL/TLSのハンドシェイクフェーズでは、WebサーバーのIDを検証するWebサーバーのデジタル証明書を使用します。 HTTPSは、クライアントのIDを証明するように構成することもできます。

HTTPSは完全に安全ではありません

HTTPSは、HTTPの安全な代替手段として設計されています。 ただし、そのセキュリティには次のような制限があります。

 

  • プロトコルの脆弱性: SSL/TLSプロトコルは継続的に改善されています。 プロトコルのアップデートの多くには、以前に発見された脆弱性の修正が含まれていたため、これらのアップデートのインストールはセキュリティのために不可欠でした。
  • 偽のウェブサイト: HTTPSのロックアイコンは、WebサーバがURLに対して発行されたデジタル証明書を持っていることのみを保証します。 信頼されたドメインに似た名前の URL で作成されたフィッシングサイトに対しては保護されません。
  • SSL/TLSインターセプト: SSL/TLSは、Webサイトのデジタル証明書がクライアントから信頼されている機関によって署名されていることを確認します。 攻撃者が偽の信頼できる証明書を作成できる場合、中間者(MitM)攻撃を実行してトラフィックを傍受し、読み取り/変更できます。 この攻撃では、攻撃者はクライアントとのSSL/TLS接続を作成し、トラフィックを復号化してパケットの内容を確認してから、パケットを暗号化してWebサーバーに送信します。 リターンパケットも同じプロセスを経ます。 ユーザーはこれに気付かないかもしれませんが、MitM攻撃を検出して防止できる エンドポイントブラウザおよびモバイル セキュリティソリューションがあります。
  • 暗号化された悪意のあるコンテンツ: HTTPSが提供する暗号化により、トラフィックの内容を検査することは不可能です。 マルウェアやフィッシングサイトは、これを利用して組織のサイバー防御を回避します。

HTTPSインスペクションの必要性

HTTPSでSSL/TLSを使用すると、機密情報を含むWebトラフィックのセキュリティが提供されます。 これはユーザーのプライバシーにとって価値がありますが、サイバー犯罪者にとっても有用です。 マルウェアは、コマンド&コントロール通信を隠すためにHTTPSを使用することが増えています。

 

SSL/TLSインスペクションでは、組織のネットワークに出入りするSSL/TLS接続に対してMitMスタイルのインターセプトを実行します。 これにより、組織はトラフィックに悪意のあるコンテンツがないか検査できます。

HTTPS インスペクションの利点

HTTPSインスペクションには、次のようなネットワークパフォーマンスとセキュリティ上の利点があります。

 

  • アプリケーション識別の改善: HTTPSトラフィックを復号化することで、組織は接続を使用するアプリケーションをより適切に識別し、アプリケーション固有のセキュリティおよびルーティングポリシーを適用できます。
  • URL フィルタリングの適用: HTTPSトラフィックの検査により、組織は安全でないWebサイトや不適切なWebサイトへのトラフィックをブロックできます。
  • 悪意のあるコンテンツのフィルタリング: HTTPSインスペクションにより、サイバーセキュリティソリューションはHTTPSトラフィック内の悪意のあるコンテンツをスキャンできます。 コンテンツはサンドボックスでテストでき、悪意のあるコンテンツはコンテンツの無害化と再構築(CDR)テクノロジーを使用してファイルから削除できます。

HTTPS インスペクションのパフォーマンスへの影響

HTTPS インスペクションでは、 次世代ファイアウォール(NGFW) を使用して接続を復号化し、接続に含まれるデータに悪意のあるコンテンツがないか検査し、宛先に転送する前に暗号化する必要があります。 これにより、特にNGFWにライン速度で検査を実行する能力がない場合、大幅なネットワーク遅延が発生する可能性があります。

 

スケーラブルなセキュリティソリューションの導入は、組織がトラフィック帯域幅の増加に適応できるようにするために不可欠です。 ハイパースケール・ネットワーク・ソリューションにより、組織は追加の専用システムを購入することなく、需要を満たすためにリソースを追加できます。

ネットワーク HTTPS インスペクションのベストプラクティス

HTTPSインスペクションは、組織のWebセキュリティを劇的に向上させることができます。 HTTPS インスペクション用の NGFW を選択して導入する場合は、次のベスト プラクティスを実装します。

 

  • インバウンド検査とアウトバウンド検査: インバウンド インスペクションはクライアントに流れるトラフィックを調べ、アウトバウンド インスペクションはサーバーへのトラフィックを監視します。 インバウンドインスペクションは、 IPS(侵入防止システム) 保護を適用することで、内部Webサーバーを保護できます。
  • 正当なプライバシーに関する懸念を尊重する: 一部の種類のデータは、GDPR、PCI DSS、HIPAA などの規制の下で保護されています。 HTTPSインスペクションルールは、これらのタイプの機密データを含む可能性のあるトラフィック(金融機関、医療機関など)を無視するように設定する必要があります。
  • 推奨バイパスリスト: HTTPSインスペクションはネットワーク遅延を増加させるため、特定の信頼済みサイトでは不要です。 NGFW には、更新可能なバイパス リストを使用して、検査すべきでないトラフィックを決定できる機能が必要です。
  • ガートナー・マジック・クアドラント認定証: Gartner Magic Quadrant 証明書をインポートして、エンドポイント ブラウザーがセキュリティ Gartner Magic Quadrant 証明書を信頼できるようにします。 これは、ブラウザの警告を排除し、シームレスなユーザーエクスペリエンスを作成するために不可欠です。

 

NGFWは、この NGFWバイヤーズガイドに記載されている他のコア機能に加えて、これらの機能をサポートする必要があります。

 

  • ユーザーフレンドリーな管理
  • 脅威対策
  • アプリケーションの検査と制御
  • IDベースの検査と制御
  • スケーラブルなパフォーマンス

 

チェック・ポイントのNGFWは、高性能でスケーラブルなSSL/TLSインスペクション機能を提供します。 実際の動作をご覧になりたい方は、 無料デモをリクエストしてください。

×
  Feedback
このウェブサイトは、機能性と分析およびマーケティングの目的でクッキーを使用しています。 このウェブサイトを引き続きご利用いただくことで、クッキーの使用に同意したことになります。 詳細については、 Cookie に関する通知をお読みください。
OK