- ライター:植谷 昌博
- 2017年にネットワンシステムズ株式会社に入社し、CiscoのWireless製品担当として技術調査、検証評価、提案および導入支援に従事。
現在は、セキュリティ分野の担当領域拡大のため、F5製品を対応中。
目次
SSL/TLS通信の現状
最近では、インターネットを安全・安心な環境で利用するために、SSL/TLS通信を採用しているWEBサイト/WEBサービスが急増しています。
2019年12月現在、日本国内でのGoogle への暗号化リクエストは96%となっています。*1
特にGoogleは、常時SSL/TLS化を推進しており、2019年12月リリースされたGoogle Chrome79では、httpとhttpsが混合されているWEBサイト(例:暗号化されていない画像などのコンテンツが使用されているWEBサイトなど)は段階的にブロックされていき、将来的にリリースされるGoogle Chrome81では、完全にブロックされると言われています。*2
よりインターネットの安全性を高めるために、常時SSL/TLS化が求められているため、今後、SSL/TLS通信が増加していきます。
*1 引用元:https://transparencyreport.google.com/https/overview
*2 引用元: https://security.googleblog.com/2019/10/no-more-mixed-messages-about-https_3.html
SSL/TLS通信の課題
SSL/TLS通信の増加に伴って、下記のような課題が挙げられます。
・SSL/TLS通信を経由してマルウェアを送りこまれた場合、暗号化されてしまい制御できない。
・次世代FireWallなどで複号可能な製品もあるが、パフォーマンスが著しく低下する場合が
ある。
SSL可視化ソリューションの検証例
今回は、SSL/TLS通信の課題解決方法として今後、需要が増えることが予想されるSSL可視化ソリューションを、弊社の強みであるF5 Networks製品とCisco Systems製品を組み合わせて、検証しましたのでご紹介します。検証に使用した製品およびバージョンは、下記の通りです。
また、構成のイメージと動作フローは下記となります。
・アウトバウンド通信
・各種デバイスからのSSL通信をBIG-IPで復号して、Firepowerへ転送。 *
・Firepowerで作成したポリシーに従い内容をチェック。
・Internetへの通信をBIG-IPで再暗号化。
*今回の検証では、すべてのSSL通信を復号。
・インバウンド通信
・InternetからのSSL通信をBIG-IPで復号して、Firepowerへ転送。 *
・Firepowerで作成したポリシーに従い内容をチェック。
・各種デバイスへの通信をBIG-IPで再暗号化。
*今回の検証では、すべてのSSL通信を復号。
動作確認
今回の動作確認では、マルウェア検知テストで利用される”EICAR”を使用しています。
1. デバイスよりEICARのダウンロードサイトへアクセスし、証明書を確認する。(BIG-IPで再暗号化しているため、証明書の発行者はBIG-IPで発行したものとなっている)。
2.上記のサイトよりマルウェアファイルをダウンロードすると、下記のような表示となりダウンロードがブロックされる。
3. Firepowerのログを確認すると、マルウェアと判断されブロックしていることが確認できる。
まとめ
SSL/TLS通信を可視化することにより、マルウェアなどの侵入・感染を未然に防ぐことができセキュリティを高めることが可能です。
今回の検証では、すべての通信をBIG-IPにて復号しFirepowerでチェックする方法にて検証していますが、可視化してはいけない個人情報(氏名、パスワード、クレジットカード番号など)もあります。
そのような場合、BIG-IPの設定にてするか否かのポリシーを作成することが可能です。
また、カスタマイズ可能なポリシー設定により、複数のセキュリティ製品を多段構成で連携することも可能です。
今回紹介できておりませんが、下記のようなメリットもあります。
・Firepower連携することによりNGIPS機能による脅威保護
・BIG-IPで復号/再暗号化することによるFirepowerのパフォーマンス低下防止
・負荷分散の負荷軽減
昨今、各ベンダーが多くのを紹介していると思いますが、
SSL可視化ソリューションを検討する中で、候補の一つとなれば幸いです。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
