通信の常時SSL化とその脅威

アメリカ国家安全保障局（NSA）による通信の盗聴がスノーデン事件で発覚した2013年以来、通信のSSL/TLS（以下SSL）による暗号化が急速に進み、2016年中にはインターネットトラフィックの67%が暗号化されたトラフィックになると予測されています。(*1)特にGoogleなどがSSL対応のWebサイトを上位に表示する方針を示し、Let's Encryptなどのムーブメントの後押しもあって、Web通信のSSL通信の比率は国内でも急激に拡大しています。企業におけるWebベースのクラウドサービスの利用も拡大しており、これらの通信もすべてSSL通信を利用しています。今後もこの流れが続き、ついにはほぼ100%のトラフィックが暗号化されている時代が来るかもしれません。

その一方で、Let's Encryptのようなムーブメントは、悪意を持った攻撃者にも攻撃を隠ぺいする手段を与えてしまっています。このブログでもすでに述べてきたように、SSL通信を利用した脅威として、マルウェアを添付したメールの送信や、ドライブバイダウンロード、インスタントメッセージを通じた攻撃、C&Cサーバとの通信、クラウドストレージへの機密データ送信などが考えられます。このように、SSL通信に隠れた脅威は増大しており、2017年までには攻撃のトラフィックのうち50%は、SSL通信を使用して、セキュリティシステムを回避するようになる(*1)―すなわち攻撃の主な手段となると予測されています。また、企業におけるクラウドサービスの利用拡大を通じて、企業内部の人間によるデータ漏えいがSSL通信を通じて発生することも考えられます。

では、企業は導入済みのファイヤウォール・IPS・UTM・標的型攻撃対策機器などのセキュリティ機器を用いた防御でSSL通信を検査しているのかというと、80%もの組織で検査を行っていないのが実態です。(*1)また仮にこれら既存のセキュリティ機器でSSL通信の検査を行ったとしても、スループット性能が最大で20分の1にまで落ち込んでしまうことがあり、十分なスループットを得るためには膨大な追加コストが必要になります。

SSL通信の可視化：SSLインサイト

このようなSSL通信に隠れた脅威を発見するために、A10ネットワークスのThunderシリーズではSSLインサイト機能を提供しています。この機能により、クライアント-サーバ間のSSL通信は一旦平文化され、平文化されたデータを検査のためにセキュリティ機器に転送し、検査後のデータを再暗号化してSSL通信を行うことができます。この結果、既存のセキュリティ機器のパフォーマンスを維持したまま、SSL通信に隠れたマルウェアや内部不正を検出できるようになります。それぞれのセキュリティ機器でSSL通信の検査を行う場合と比べ、一度の復号処理で複数のセキュリティ機器による検査が可能であり、セキュリティ機器の負荷軽減と高可用性も実現できる利点があります。A10 Thunderシリーズでは、従来アプリケーション配信コントローラ技術で培ったSSLオフロード技術と、専用ハードウェアチップの利用により、2048ビット暗号鍵を利用した場合でも、1ラックユニットのハードウェア1台で最大17Gbpsのスループット、50,000CPSまでの高速なSSL通信の可視化を実現しています。その一方、セキュリティ機器の増設に比べ、同じスループットを得るためのTCOを大幅に削減できます。

A10ネットワークスは、このSSLインサイト機能に関してCisco社やFireEye社などともセキュリティソリューション分野でのアライアンスを組んでおり、次世代IPSのCisco FirePOWERや、標的型攻撃防御装置であるFireEye NXシリーズなどと、SSLインサイトによる連携ソリューションを提供しています。また、日本法人では定期的にハンズオントレーニングも行っており、実際構成を利用して設定の仕方を確認することもできます。今後増大するSSL通信へのセキュリティ強化に向けて、一度導入を検討されてはいかがでしょうか。

*1: Sandvine Internet Phenomena Report "Security Leaders Must Address Threats From Rising SSL Traffic," 2013 より引用