SSL/TLS暗号化通信に潜む攻撃の実情
企業のIT管理者を対象としたレポートによると、サイバー攻撃に遭ったと回答した企業の割合は80%であり、このような被害の大半は暗号化によってセキュリティ装置の検出を免れていました。
回答者の57%は、SSLを検査することが重要だと回答しています。
※ Source: ITR「ITR Market View:サイバー・セキュリティ対策市場2020」
SSL可視化市場:ベンダー別売上金額シェア(2016~2019年度予測)
近年、SSL/TLSの利用が急激に拡大しています。
暗号化を推奨しているGoogleは、2014年より常時SSLに対応したWebサイトを検索順位で優遇すると発表した他、最近ではGoogle Chromeにおいて、SSLに対応していないWebサイトに対し「保護されていない通信」といった警告を表示するようにしたことなどから、世界中のWebサイト管理者が自社のSSL/TLS対応を進めています。実際に日本国内のHTTPSページ利用率を見ると、2015年3月21日時点でわずか23%だったのが2018年8月11日には67%にまで増加しています。
本来情報が通信中に盗まれることを防止する目的で使用されるSSL/TLS通信ですが、攻撃者が自身の攻撃を暗号化通信に隠して企業に侵入するという、いわゆる「SSL/TLSに潜む脅威」も顕著化してきました。
攻撃は暗号化され、セキュリティ装置で検知されません。
そのため企業では、セキュリティ装置に検査する前に、暗号化通信を復号して可視化することが必要になります。
暗号化通信の可視化は主流になってきており、内閣サイバーセキュリティセンターが発行する 政府機関等の情報セキュリティのための統一基準でも、暗号化データを必要に応じて復号することと記載されています。(5.2.1 情報システムの企画・要件定義の遵守事項)
企業のIT管理者を対象としたレポートによると、サイバー攻撃に遭ったと回答した企業の割合は80%であり、このような被害の大半は暗号化によってセキュリティ装置の検出を免れていました。
回答者の57%は、SSLを検査することが重要だと回答しています。
セキュリティ製品は、本来セキュリティ検査のために設計されており、SSLの復号、再暗号化のようなCPU負荷が高い処理を行うために最適化されていません。
そのため、SSLの複合・再暗号化と検査を同時に行おうとすると性能が著しく低下し、セキュリティ製品の本来の機能を活かせなくなり、とても非効率になってしまいます。高いSSL処理性能を持つセキュリティ製品で対応することもできますが、高額なためアップグレードも現実的ではありません。
A10 Thunder シリーズが提供するSSLインサイト(SSL可視化機能)であれば、 SSL/TLS処理に最適化されたアーキテクチャにより、高速に暗号化通信を復号できます。ThunderシリーズのSSL処理性能は他社セキュリティ製品のハイエンドモデルと比較して3.5倍以上であり、導入コストは20%以上削減できます。既存のセキュリティ機器を挟み込む形でA10 Thunderシリーズを設置すれば、既存のセキュリティ機器はそのまま、インターネット通信速度もそのままで、暗号化通信のセキュリティチェックを行えるようになります。
A10のSSLインサイトは、組織内のクライアントから外部サイト宛てのSSL 通信内容を復号することで可視化し、セキュリティ製品に転送、再度暗号化して外部に転送することでSSLに隠れた脅威の検知を支援する機能です。
A10 Thunderシリーズは、PFS/ATS対応のSSL暗号処理を高速化する「第3世代 SSL / TLS専用ハードウェア」を搭載し(一部モデルのみ)、さらにマルチコア・マルチCPU構成で各CPUが完全に独立した並列処理を実現することによりCPUの性能を最大限引き出すことに成功したA10の独自OS ACOS(Advanced Core Operating System)を搭載することにより、旧モデルと比較して約10倍、同価格帯の他社製品と比較しても最大2倍の処理性能のSSL処理性能を実現しています。
A10は日本国内においても、あらゆる主要セキュリティベンダーと密に連携しています。
情報交換や連携に関する検証を行っており、技術的ノウハウや資料が蓄積されています。
Thunder シリーズは、L2/L3両方に対応しているほか、一度の復号処理で複数のセキュリティデバイスによる検査が可能、また、URLカテゴリベースで可視化をバイパスするなど、お客様の既存の環境に合わせた柔軟な構成に対応します。
SSL可視化機能をもつ他社製品と比較し、約1/2の価格(※同等レベルのSSL復号スループットを持つ製品との比較)
更にThunder シリーズなら、追加ライセンスなしでクラウドへの通信最適化機能も利用可能です。
A10は、柔軟な構成と優れた運用性、セキュリティ機能などの様々な付加価値をオールインワンで提供します。
| 機能 | A10 | B社 | 備考 |
|---|---|---|---|
| パフォーマンス | ◎ | A10は、最大40GbpsのSSL処理性能 | |
| 可視化対象デバイスの負荷分散機能 | ○ | X | A10は、デフォルトで可視化対象デバイスの負荷分散とヘルスチェックが可能。可視化対象デバイスのスケールアウト構成が可能 |
| SSHプロトコルの可視化 | ○ | X | A10は、SSH, SCP, sFTPの可視化可能 |
| プロキシ連携 | ○ | X | A10は、背後にプロキシのある構成をサポート |
| HSM連携 | ○ | X | A10は、FIPS 140-2 Level 3に準拠しHSMデバイスと連携可能 |
| スクリプトによるトラフィック制御 | ○ | X | A10は、TCLベースのaFlexスクリプトをサポートし、可視化後のHTTPトラフィックのエンジニアリングが可能 |
| 送信元MACアドレスがセキュリティデバイスになる構成 | ○ | X | A10は、再暗号化時に、送信元MACに依存せず動作可能。セキュリティデバイスがL3構成、SNATを行う場合も動作可能 |
| 完全なTCPスタックの実装と管理機能 | ○ | X | A10は、L7レベルでSSLトラフィックをプロキシとして終端可能。完全なTCPスタックをサポートし、ストリームを制御可能 |
| SSL Retransmit | ○ | X | A10は、SSL Retransmitサポート |
| 明示型プロキシ機能 | ○ | X | A10は、明示型プロキシ機能とSSL可視化を併用可能 |
| ICAP連携 | ○ | X | A10は、ICAP連携とSSL可視化を併用可能 |
| L2/L3ネットワーク構成 | ○ | L2のみ | A10は、L2, L3の両方の構成をサポート(可視化対象のセキュリティデバイスもL2, L3の両方の構成をサポート) Passiveモード(TAPモード)のデバイスへの可視化もサポート |
| 冗長化機能 | ○ | X | A10は、Active-Standby冗長化機能サポート(VRRP-A) L2構成時も単独でL2ループ防止機能を実装 |
A10のSSLインサイトにより、内閣サイバーセキュリティセンターが発行する 政府機関等の情報セキュリティのための統一基準(平成30年版)で定められたセキュリティ要件「監視するデータが暗号化されている場合は、必要に応じて復号すること」に対応可能です。
SSL/TLS通信を可視化することで、これまで難しかった暗号化通信に対するWebフィルタリングやファイル・メールの無害化、ウイルススキャンやDLPといったセキュリティ対策にも対応できます。
「三層の対策」の見直しに伴うインターネット接続系に必要とされる機能と次期自治体セキュリティクラウドで必要とされるセキュリティ機能を提供
