SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

そのSSL通信は保護されていますか?

セキュリティ
2019.08.09

常時SSL化のセキュリティの担保について

今や通信のSSL化は当たり前。Google Chromeをご利用している人なら、HTTPのサイト(暗号化されていないサイト)を閲覧すると、アドレスバーのところに、暗号化されていない通信と表示されます。 そうなんです。今では、大半のサイトがHTTPSで暗号化されており、ニュースサイトでも、趣味のサイトでも、ありとあらゆるものが暗号化される時代です。

SSL通信もファイアウオールで制御できますか?

もちろんできます。今時のファイアウオールなら、SSL通信の復号化、暗号化の機能が備わっていることが多く、ユーザーがアクセスしているHTTPSのサイトからダウンロードするファイルのスキャンできるようになっている製品も多く存在します。 ゲートウェイ製品でSSL通信のセキュリティを担保ができると、管理者としても苦労は一つ減るかもしれません。

どうして暗号化されたサイトをスキャンできるの?

ユーザーとインターネットの間に、ファイアウオールがSSL通信を中継します。その時、ユーザーがインターネットアクセスする際に暗号化する鍵をファイアウオールの鍵で暗号化するので、ファイアウオールは自身の鍵で復号化し、コンテンツのチェックをしてから、インターネット側の鍵でロックして、送り出すという仕組みです。

言うは易く行うは難し:SSLの復号化は思っているより面倒が多いんですよ。

SSLの復号化は導入・運用においてリソースを消費します。

1. ユーザー端末への証明書の配布(導入)
2. ファイアウオールの処理能力の考慮(スペック)
3. 除外リストの作成(運用)

などと言った考慮点が必要です。

1. ユーザー端末への証明書の配布

ファイアウオールの証明書で通信を暗号化しないと、ファイアウオールでは暗号化された通信の復号化ができません。そのために、社内のデバイス(PC、スマホなど)には事前にファイアウオールを信頼するための証明書をインストールしておく必要があります。 もし、証明書をインストールしていないと、ユーザーのSSL通信が、ファイアウオールによって不正に中継されたという状態になり、見たいサイトにアクセスできません。
ただ、アクティブディレクトリなどの環境では、証明書の一括配信などもできるので、比較的乗り越えやすいポイントでしょう。

2. ファイアウオールの処理能力の考慮

基本的に復号化、暗号化の処理には、ハードウェアの負荷が伴います。それに加えて、IPS機能やウィルス対策機能などのセキュリティチェックをファイアウオールは並行処理するため、ハードウェア選定の見極めが必要です。弊社ではさまざまな検証データを元に最適なサイジングをお手伝いできるところです。

3. 除外リストを作成する

SSL通信の検査とは、つまり利用者が暗号化している通信をファイアウオール上で復号化し検査する行為です。会社が管理している業務データだけなら良いですが、ユーザー自身の個人情報(金融、医療、不動産、クレジットカード情報、SNSアカウントなど)の情報も見えてしまう場合があります。 SSL検査をする際は、企業としてどこまでの個人情報を管理するべきか、しっかり事前に検討しなければなりません。 また利用するアプリケーションによっては、正しくつながらないといったケースもあるので、導入については慎重にならざる得ません。

復号化しなくても、SSL通信のセキュリティチェックをする方法

エンドポイントセキュリティ対策を行えば、SSL通信であっても安全対策がとれます。 昨今の企業向けの多くのEDRと呼ばれる製品には、振る舞い検知機能が搭載されており、デバイスで上での危険な挙動を検出する機能が備わっています。

Sophos Security Heatbeat™とは

簡単にいうと、EDRと次世代ファイアウオールのいいとこ取りです。 Sophos エンドポイント製品として Sophos Endpoint Protection とIntercept Xと呼ばれるの脅威対策ソフトウェア製品があります。 これらのソフトウェアを会社のデバイスにインストールし、同じSophos Centralで管理しているSophos XG Firewallと連携することができます。

エンドポイント側で検出した情報がファイアウオールにも共有されるので、SSL復号化のような負荷のかかる処理を軽減してくれそうです。

簡単! Security Heatbeatの作り方

1. XG Firewallをセットアップし、Sophos Centralに登録します。
2. 対象のSophos Centralから、Sophos Endopointソフトをダンロードし、デバイスにインストールします。
3. XG FirewallのポリシーでSecurity Heatbeatを有効にします。

手順はこれだけです。 Sophos Centralと連携するだけで、デバイス側のアプリケーション情報などと連携可能になります。 SSL6.png

ハートビートを使って端末の状態を監視しているので、デバイス上でマルウェアや不正な振る舞いが検知されると、即座にネットワーク側が反応してくれるようになります。 ファイアウオールポリシーの条件に注目 SSL5.png

SSL復号化機能のように、除外リストも作らなくてもいいし楽になりそうです。 ただしはSophosのエンドポイント製品がインストールされていないと活用できませんので、PC・MAC以外のデバイスではご利用できませんのでご注意ください。

また、もちろんですが、XG FriewallにもHTTPS通信をスキャンする機能が搭載されています。

著者紹介

SB C&S株式会社
技術統括部 第3技術部 2課
宮本 世華

釣りが好きです。