SSL/TLS復号とは
SSL/TLS復号では、受信したネットワークトラフィックを復号し、マルウェア、ウイルス、フィッシングの有無を検査し、セキュリティ上の脅威を隔離した後、許可されたトラフィックを再暗号化し、処理を続行できるようにします。
デジタル化が進む今日、企業は膨大な量の機密情報を社内外で共有するようになりました。貴重な情報はどこにでもあるのです。サイバー犯罪者も常に存在し、データを破損したり、盗んだり、ランサムウェアによって人質にする方法を探しています。企業にとって起こりうるリスクを考えるとき、以下のようなデータを考慮することが重要です。
- クラウドベースのリポジトリやネットワーク上のデバイスに保存されているデータ
- 電子メール、コラボレーションツール、その他のビジネスシステムを通じて取得・送信されるデータ
- Software as a Service (SaaS)、Infrastructure as a Service (IaaS)、Platform as a Service (PaaS)システムで処理されたデータ
脆弱なデータを保護する
企業にとって、これらのデータのセキュリティは極めて重要です。さらに、サイバー犯罪からデータを保護することは、米国をはじめ世界各国のさまざまな法律や規制によって義務付けられています。そのため、ネットワークトラフィックの可視性を維持し、データを保護し、法的コンプライアンスを確保することが組織の責務となっています。そのためには、ネットワークに流入するすべてのトラフィックを認証し、サイバー犯罪者のアクセスを防止するゼロトラストモデルを採用することから始まります。A10 のSSL/TLS可視化ソリューション SSLインサイトは、この課題を克服するために特別に作られたソリューションの1つです。
ゼロトラストアーキテクチャの中核となるのは、SSL/TLS暗号化とSSL/TLS復号です。SSLはSecure Sockets Layerの略で、TLSはTransport Layer Securityの略で、どちらもデータの暗号化と復号に使用されるセキュリティプロトコルです。SSLセキュリティが先に開発され、1995年にSSL暗号化/SSL復号が誕生し、1999年にはより高度なTLS暗号化/TLS復号に進化しましたが、SSLセキュリティとTLSセキュリティは同様の働きをするため、SSL/TLSという表記のように、名称上では一塊に扱われています。SSL暗号化/SSL復号について、そしてなぜそれがTLS暗号化/TLS復号に発展したのか、詳しく知ることは価値があります。
拡大する脅威の状況
Yahoo、Alibaba、LinkedIn、Facebook、Marriottに共通することは何でしょうか。2021年7月にCSOが発表した記事によると、これらの企業は、21世紀最大のデータ漏洩を経験した企業として、不名誉なことに名を連ねています。それ以来、データ漏洩はより大きな脅威となる一方です。Infosecurity Magazineは、2022年第3四半期に1億890万件のアカウントが侵害されたことを明らかにし、これは第2四半期に比べて70%増加したことを意味します。
サイバー犯罪者によるネットワークセキュリティへの脅威の増大により、企業がゼロトラストアーキテクチャを採用しと技術を積み重ねる際には、SSL暗号化/TLS暗号化、SSL復号/TLS復号を使用することがこれまで以上に不可欠になっています。
サイバー犯罪者からデータを保護できなかった場合、高額な金銭的罰則が課されることがあります。米国では、2017年に連邦取引委員会がEquifaxに課したデータ侵害に対する最大の罰金は、5億7500万米ドルでした。一方、データプライバシーに関する厳しい法律があり、データ侵害に対する罰金が高額な欧州連合では、EUのGDPRで禁止されているクッキー違反により、アマゾンが2021年に8億7700万米ドルという巨額の罰金を課されました。
データ侵害の結果、企業は罰金や罰則以外にも、追加的なコストを負担することになります。これらのコストは、収益の損失、損害を修復するための追加の人的資源やソフトウェアの支出、企業の評判や信頼性への打撃を軽減するためのマーケティングやPR活動によって発生します。
SSL/TLS暗号化およびSSL/TLS復号のしくみ
上述したように、ファイル、通信、その他の資産を含むデータは、転送中であるか、ネットワークデバイスやクラウドベースのリポジトリに保存されているかどうかにかかわらず、危険にさらされています。このような脅威から守り、ゼロトラストセキュリティモデルを実現するためには、データを暗号化する必要があります。暗号化とは、サイバー犯罪者の不正な手に渡った場合に備えて、データを解読できないように並べ替えることです。
暗号化は複雑な数学的アルゴリズムに基づいています。現在、最も信用されている暗号化アルゴリズムはAES(Advanced Encryption Standard)で、米国政府や多くの企業・団体で使用されています。暗号化アルゴリズムは、データをスクランブル化し、情報リポジトリへのハッキングや転送中の情報の傍受を行う不正なサイバー犯罪者が理解できないようにするものです。
SSLセキュリティは、送信者が暗号鍵を使用してデータを暗号化する必要があります。受信者は、データの所有者または送信者が提供する復号キーを使用して、データを復号し、意味を理解することができるようにする必要があります。暗号鍵は、個人のパスワードと同じように、長くて複雑であればあるほど、より強力になります。
効果的なSSL/TLS暗号化、SSL/TLS復号のためのツール
A10 のSSL/TLS可視化ソリューション SSLインサイトは、SSL暗号化/TLS暗号化、SSL復号/TLS復号というSSLセキュリティの基盤の実装を支援する強力なソリューションです。この製品は、お客様のゼロトラストアーキテクチャを完全にサポートします。受信したネットワークトラフィックを復号し、マルウェア、ウイルス、フィッシングの有無を検査し、セキュリティ上の脅威を隔離した後、許可されたトラフィックを再暗号化し、処理を続行できるようにします。A10がSecure Sockets Layer(SSL)をどのようにサポートしているか、詳しくはこちらをご覧ください。
SSL暗号化/TLS暗号化を用いたSSLセキュリティベースのアプローチの実装、暗号鍵の管理、ネットワークに入るトラフィックや入ろうとするトラフィックの解析は、すべてゼロトラストセキュリティモデルに不可欠な要件です。しかし同時に、このような重いコンピューティング・ワークロードがセキュリティ・インフラに負担をかけ、パフォーマンスの低下を招くことになります。まるでキャッチボールをしているようです。
このような状況では、SSLオフロードが役に立ちます。SSLオフロードでは、SSL/TLSベースのトラフィックの暗号化と復号という計算負荷の高い作業を、暗号化と復号専用の別のサーバーに移動させます。この計算負荷から解放されることで、セキュリティ・インフラはより良いパフォーマンスを発揮できるようになります。
SSLオフロードのメリットを享受するには、企業はアプリケーション配信コントローラ(ADC)に投資する必要があります。これは、ネットワークに入るデータの復号と再暗号化を実際に実行するネットワークアプライアンスです。A10 Thunderアプリケーション配信コントローラーについて、ぜひ知っておいてください。ADCの評価と使用については、それ自体が1つのトピックです。
暗号化通信に対するマルウェア対策・ファイル無害化・データ損失防止
「エンドポイントセキュリティだけでは標的型攻撃は防げないのか?」― 本書ではこの疑問に答えます。
近年のサイバー攻撃手法を解説した上で、今まで不可能だった暗号化通信にも対応したファイル無害化・マルウェア対策・情報漏洩防止などを用いて、巧妙化する攻撃に対応する方法を解説します。
