このページの本文へ

数年後、攻撃トラフィックの半分が暗号化!対抗手段はSSL可視化専用機

「SSL暗号化通信に隠れた攻撃をあぶり出す」ブルーコート

2015年02月12日 06時00分更新

文● 大塚昭彦/TECH.ASCII.jp 写真● 曽根田元

  • この記事をはてなブックマークに追加
  • 本文印刷

 企業は次世代ファイアウォール(NGFW)やIPSでネットワーク攻撃を防ごうとしているが、そもそも把握できている脅威は「氷山の一角」にすぎない――。ブルーコートのダリン・コールソン氏はこう警鐘を鳴らす。急増するSSLトラフィックを“隠れみの”として、攻撃トラフィックの暗号化が進みつつあるからだ。

米ブルーコートシステムズ(Bluecoat Systems)でエマージング・マーケット担当バイス・プレジデントを務めるダリン・コールソン(Darrin Coulson)氏

数年後、攻撃トラフィックの半分は暗号化で「見えなく」なる

 近年、企業においてもSSL/TLSによる暗号化トラフィックの割合が急増している。クラウド型の業務アプリケーションが一気に普及し、そのトラフィックを保護するために使われているからだ。さらに、グーグルが昨年夏、検索サービスのランキングでHTTPSのページを優遇していく方針を発表したこともあり、一般的なコンテンツサイトでも「常時SSL(Always On SSL)」の動きが加速しつつある(関連記事)

 コールソン氏によれば、「すでに企業トラフィックの30~40%はSSLトラフィックが占めている」という。そして今後、その割合はさらに増えていくはずだ。だが同時に、これがマルウェアの侵入路にもなっていると、コールソン氏は警告する。たとえば標的型攻撃などで、企業内に侵入したマルウェアが外部のC&Cサーバーとやり取りし、企業の機密情報を外部に送信しているとしても、トラフィックが暗号化されてしまえば完全に“見えなく”なってしまう。そして、実際にその悪用が始まっているという。

 「SSLトラフィックを隠れみのに使った攻撃は年々増加している。ガートナーが『2017年にはネットワーク攻撃の50%がSSL化される』と予測しているほどだ」(コールソン氏)

すでに企業トラフィックの30~40%はSSLで暗号化されており、そこにまぎれた攻撃も増えているとコールソン氏

 ネットワーク攻撃を防ぐために、企業ではNGFW、IPS、アンチウイルスゲートウェイ、Eメールゲートウェイ、Webアプリケーションファイアウォールといったセキュリティ製品を導入し、多層に及ぶ“防御壁”を構築している。こうしたセキュリティ製品の大半には、SSLトラフィックの暗号化を解除(復号)して、通信内容を精査する機能も備わっている。

 「だが、ガートナーによればセキュリティボックスのSSL(復号機能)を有効にしている企業は、全体のわずか20%だ。実際、当社の『ProxySG』の顧客を調査しても、この割合は変わらなかった」(コールソン氏)

 多くの企業がSSL機能を有効にしない理由は、トラフィック処理のパフォーマンスが大幅に低下するからだ。「これを有効にしたとたん、パフォーマンスが70%、80%も落ちてしまう」(コールソン氏)。さらに、多層防御のため複数のセキュリティ機器を導入していれば、それぞれが個別に復号処理を行うため、パフォーマンスはさらに劣化してしまう。

 企業がSSLトラフィックをチェックせず、そこに潜む攻撃に目をつぶってしまうことで、攻撃者は多層の防御壁をたやすくすり抜けてしまう。「たとえばファイア・アイのような優れたセキュリティ製品を導入しても、SSLトラフィックを一切検査しないならば、その効果は半分だ。こうした対策は理に適っていない」と、コールソン氏は語気を強める。

パフォーマンス低下を理由にSSLトラフィックを見逃せば、多層セキュリティも効果が薄い

SSLトラフィックの復号処理を一手に引き受けるアプライアンス

 ブルーコートでは、2013年にネトロノーム(Netronome)を買収し、同社の「SSL Visibility Appliance」を製品ラインアップに統合した。これはSSLトラフィックを復号し、可視化するアプライアンスだ。

SSL Visibility Applianceのハイエンドモデル「SV3800」。総パケット処理能力は40Gbps

 SSL Visibility Applianceの機能はいたってシンプルだ。SSLトラフィックを復号し、暗号化されていないトラフィックとして他のセキュリティボックスに渡す。

 SSL処理専用のハードウェア設計になっているため、ラインレートで高速に処理ができる。一方、セキュリティボックス側は、SSL処理がオフロードされるのでパフォーマンスが低下しない。さらに、多層防御システムでもSSL処理は1回で済み、アクティブ型(インライン型)、パッシブ型のセキュリティボックスに対し、同時にトラフィックを配信できるメリットがある。

SSLトラフィックを識別して復号し、暗号化されていないトラフィックとして他のセキュリティ製品に受け渡す

 「Webサーバーやメールサーバーなどへのインバウンドトラフィック、クライアントPCからのアウトバウンドトラフィックのどちらにも適用できる。またHTTPだけでなく、IMAPやPOP、SMTP、FTPなど、あらゆるSSLトラフィックに対応する」(コールソン氏)

エンドユーザーのプライバシー保護のための機能も

 だが、すべてのSSLトラフィックを復号すると、プライバシー上の問題が生じる恐れがある。企業ネットワークとはいえ、たとえば従業員が個人的にオンラインバンキングやヘルスケア関連のサイトにアクセスするトラフィックまで“可視化”してしまうのは、さすがに行きすぎだ。

 コールソン氏も「セキュリティとプライバシーのバランスをとる必要がある」と述べ、そのための機能を説明した。これは、アクセス先ホストのカテゴリーやIPアドレス、ドメイン名などに基づき、復号するかどうかを決定するものだ。ここでは、ProxySGでも採用している、ホストのカテゴリーデータベースを利用している。

たとえば「アクセス先ホストがオンラインバンキングならば復号しない」など、ポリシーベースの設定ができる

 コールソン氏は、SSLトラフィックを見逃していることに気づいている企業は増えてきたと語る。「大手銀行10社のうち、8社がSSLトラフィックを可視化しなければと気づいた。今後も、さらに啓蒙活動が必要だ」(コールソン氏)。

カテゴリートップへ

ピックアップ