最新情報

TLS検査とゼロトラストセキュリティ

こんにちは。A10ネットワークス、高橋です。今回は、弊社の米国本社で公開しているブログを紹介します。

本ブログは2020年6月11日に本社A10 Networks,Inc.で発行された ブログ をベースにしています。
A10 Networks,Inc. Babur Khan寄稿


現代の目に見えないサイバー脅威からユーザを守る

あらゆる強力なセキュリティ戦略にも、最も弱いポイントが1つでもあれば、簡単に破られてしまいます。 ネットワークの防御をどんなに拡張したとしても、盲点が一つでもあれば、攻撃に対して脆弱になってしまいます。これは、現代のサイバーセキュリティの中核をなすモデルである「ゼロトラスト」にも当てはまります。 ここでは、この盲点を回避する「方法」をご紹介します。

ゼロトラストモデル:完璧なセキュリティ戦略とは?

ゼロトラストセキュリティモデルは、ネットワーク防御の重要な要素となっています。 ゼロトラストセキュリティモデルは、現代の脅威状況に対して、従来のセキュリティゾーン・境界線・防御・ネットワークセグメントという概念が、「内部」と「外部」という概念すらも現代の脅威の状況では時代遅れとなったことをこのモデルの台頭を後押ししました。 つまり、正当なアクセス権を持つ人々による内部からの攻撃から身を守り、ネットワークをダウンさせるために設計(デザイン)された複数レベルの攻撃を防ぎ、攻撃の過程における横方向への動きを止めるための「壁」に頼る考え方では攻撃から守ることはできません。

参考資料(米国本社)
Zero Trust model


  • ネットワークのマイクロセグメントとマイクロペリメーターを作成し、横方向(East-West)のトラフィックフローを制限し、過剰なユーザ権限とのアクセスを可能な限り制限する
  • 包括的な分析と自動化により、インシデントの検出とレスポンス(対応)を強化する
  • 様々な企業のネットワークソリューションを容易に統合し、シームレスに連携させることで、コンプライアンスと統一的なセキュリティを実現する。ソリューションは用意に利用が可能になり、余分となる複雑さが無い状態である
  • ユーザ、デバイス、データ、ネットワーク、ワークフローの、包括的で一元的な可視化を提供する


これらは、デジタルやインターネット社会において基本原理として良い点があります。 また、「ゼロトラスト」という名称が、絶対的な防御を示唆する絶対的な用語として、安心感を与えてくれます。 しかし、これには落とし穴があります。ゼロトラストモデルは、人とその活動を完全に可視化している場合に限り機能するということです。1つでも何かが見えなければ、それがリスクをもたらさないことを保証する方法はありません。また、これは暗号化が広く使われている昨今の状況において、ネットワークトラフィックの大部分に当てはまります。

参考資料(米国本社)
TLS and the Zero Trust Paradigm​


ゼロトラストの盲点

暗号化は、今やインターネット上中に広がりどこででも利用できます。 Google社の調査報告​ によると、同社のサービスを通過するトラフィックの90%以上が暗号化されており、他社でも同様の報告がされています。 この傾向はユーザのプライバシー保護にとっては素晴らしいものですが、ゼロトラストや他のモデルを導入していたとしても、セキュリティにとって壊滅的な影響があります。 そして、暗号化によってネットワークトラフィックが、既存(レガシー)ソリューションから見えなくなるにつれ、多層のネットワークのセキュリティは事実上役立たなくなってしまいます。 上記に対応するため、多くのセキュリティベンダーではTLS検査をソリューションに組み込んでいます。 実質的には、トラフィックを復号して検査し、それを転送する前に再暗号化します。しかし、この「分散型TLS検査」のアプローチでは、復号と再暗号化が多層防御のデバイスのとに別々に行われるため、それ自体に問題が生じます。 各デバイスでの復号と再暗号化に伴って生じるネットワークのボトルネックやパフォーマンスの問題は、特にビジネスユーザや顧客のサービス品質を低下させ、競争の激しい今日のビジネス環境では受け入れがたい不利益な問題となります。 さらに、マルチベンダー、マルチデバイスのセキュリティ基盤にまたがる複数の場所に秘密鍵を配置する必要があるため、攻撃の対象が拡大し、リスクが増大します。 ゼロトラストモデルがその約束を果たすためには、サービスの品質を犠牲にすることなくゼロトラストの盲点を取り除く方法が必要です。


企業のネットワークセキュリティに必要とされる、暗号化されたトラフィックの完全な可視性

tls-inspection-and-zero-trust-security-diagram1.JPG

A10ネットワークスの製品・ソリューションは、このゼロトラストの盲点を解消します。 分散型TLS検査のの欠点を回避するために、専用の集中型SSL/TLS可視化ソリューションを通じて、企業のセキュリティ基盤に完全な可視性を提供します。 これは、最適な保護のための多層的なセキュリティアプローチによって補完し完璧性を追求します。 A10ネットワークスのA10 Thunder® SSLインサイト​ は、トラフィックの完全な可視性により、ゼロトラストの概念に適応します。A10ネットワークスのソリューションは、「一度の復号で何度も複数の検査を行う」というアプローチを採用することにより、セキュリティ基盤全体がすべてのトラフィックを平文で高速に検査できるようにし、パフォーマンスの低下や過剰な複雑さを回避します。 さらに、以下の追加機能は、上記で説明したゼロトラストの4つの主要な原則をサポートしています。

ユーザアクセス制限
A10 SSLインサイトは、認証および認可ポリシーを適用してユーザのアクセスを制限したり、ユーザの詳細なアクセス情報をログに記録したり、ユーザやグループIDに基づいて異なるセキュリティポリシーを適用する機能を提供します。 URLフィルタリング、アプリケーションの可視化と制御、脅威インテリジェンス、脅威の調査を含む追加のセキュリティサービスは、企業ネットワーク全体のセキュリティ効率を強化するのに役立ちます。

マイクロセグメンテーション
きめ細かなトラフィック制御、ユーザおよびグループIDベースのトラフィック制御、マルチテナンシーのサポートにより、マイクロセグメンテーションが容易になります。

迅速なインシデント検知と対応
A10 Harmony® Controller SSLi Appは、包括的で一元化された可視性を提供し、すべてのSSL インサイトの導入を1カ所からリモートで管理できるため、組織全体で統一されたポリシーを確実に適用できます。

柔軟な配備と統合
ベンダーに依存しないソリューションとして、複合された平文の通信の経路(複合ゾーン)に既存のセキュリティデバイスを配置することで、SSLインサイトはと用意に連携し動作させることが可能です。

使いやすさの重視
SSLインサイトは、ネットワークの停止や混乱を引き起こすことなく、どのようなネットワーク環境でも数分以内で簡単に導入することができます。統合管理により、すべてのSSLインサイトの導入において、完全な可視性、統一されたセキュリティポリシーの実施、統一された分析、およびSaaSトラフィックの可視性を実現します。


集中型で専用のSSL/TLS検査をしなければ、ネットワークの内外に存在する脅威からネットワーク、ユーザ、データを保護するというゼロトラストモデルの本来の目的を果たすことができません。 A10 SSLインサイトは、すべての送受信トラフィックの検査を可能にするだけでなく、ゼロトラスト戦略の強化に役立つ追加のセキュリティサービスも提供する完全なソリューションを提供します。
ゼロトラストの盲点をふさぐための詳細については、A10ネットワークスのホワイトペーパー「 Zero Trust is Incomplete Without TLS Decryption.(英語版)​ 」でご紹介しています。


A10ネットワークスとつながりませんか?

公式ソーシャルメディアでは最新情報をリアルタイムで発信しています。

公式Facebookの最新情報チェックf_logo_RGB-Hex-Blue_512.png

公式Twitterの最新情報チェックTwitter_Logo_Blue.png