「SSL可視化」と「DDoS対策」のアプライアンス。新ブランドを立ち上げた狙いとは？

F5、新ブランド「Herculon」でセキュリティ専用機2製品を発表

2017年03月03日 07時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　F5ネットワークスジャパンは3月1日、新たに「Herculon（ハーキュロン）」ブランドで展開するセキュリティアプライアンス2製品を発表した。暗号化トラフィックの復号／再暗号化処理を行うSSL可視化アプライアンス、F5のクラウドサービスとも連携しながらDDoS攻撃の被害緩和を行うDDoS対策アプライアンスの2製品。発表会に出席したセキュリティ製品担当幹部に、新ブランドの狙いについても聞いた。

今回、F5がHerculonブランドで発表した「SSL Orchestrator」と「DDoS Hybrid Defender」

米F5ネットワークスプロダクトマネジメントシニアディレクターのジョン・クーン（Jon Kuhn）氏

F5ネットワークスジャパンセキュリティソリューションアーキテクトの谷村透氏

SSLトラフィックのリスク度に応じた処理も実現する「SSL Orchestrator」

　今回発表されたのは、SSL可視化アプライアンスの「Herculon SSL Orchestrator」と、DDoS対策アプライアンスの「Herculon DDoS Hybrid Defender」の2製品。いずれも価格はオープンで、4月1日より国内提供を開始する。

　Herculon SSL Orchestrator（以下、SSLO）は、企業ネットワーク（キャンパスネットワーク）のインターネットゲートウェイに設置し、社内クライアント～社外サーバー間のSSL/TLSトラフィックの復号／再暗号化処理を行う専用アプライアンスだ。復号した平文トラフィックは、いったんほかのゲートウェイセキュリティ製品群（IDS/IPS、次世代ファイアウォール、マルウェア対策、DLP、SIEMなど）にルーティングし、セキュリティ処理を終えたトラフィックを再暗号化して、宛先のクライアント／サーバーに流す仕組み。

SSLOの概要。SSLトラフィックの可視化と他のセキュリティ製品へのトラフィック最適化

　こうした製品が必要となった背景には、グーグルなど大手サイトが推進する“常時SSL化”の動きがある。クライアント～サーバー間で暗号化トラフィックの比率が急速に高まっており、「ある日本のネットワークサービスプロバイダーに聞いたところ、彼らの扱うトラフィックでもすでに70～80％が暗号化トラフィックになっている」と、米F5のジョン・クーン氏は説明する。

　こうした暗号化トラフィックにまぎれ込むように、攻撃者もまた、ボット－C&Cサーバー間の攻撃トラフィックを暗号化し始めている。通信内容のわからない暗号化トラフィックに対しては、高度なセキュリティ製品であってもその能力を発揮できない。

攻撃者もトラフィックを暗号化し始めている。暗号化された攻撃トラフィックは多層防御をすり抜けてしまう

　だがその一方で、SSL／TLS処理は負荷が高いため、これまで導入されているゲートウェイセキュリティ製品では、暗号化トラフィックを処理しない（バイパスする）設定になっているケースも少なくない。そもそも、1つのトラフィックに対し、複数のセキュリティ製品で個別にSSLの復号／再暗号化処理を行うのは無駄が多い。

　そこで、SSLOのようなSSL可視化専用の製品が必要とされているわけだ。SSL/TLS処理はSSLOの専用ハードウェアが引き受け、その他のセキュリティ製品群がセキュリティ処理に専念できるようにすることで、導入済みのセキュリティ製品群を入れ替えることなく、効率良く暗号化トラフィックに潜む攻撃トラフィックをあぶりだす。

　「SSLOで、SSLトラフィックという“セキュリティ製品の死角”をなくす」（F5ジャパン谷村透氏）

　SSL可視化アプライアンス市場にはすでに複数の競合製品が存在するが、SSLOの場合はSSL可視化機能だけでなく、トラフィックの種類に応じた「ポリシーベースのサービスチェーン」機能を備えるのが特徴だ。

　具体的には、個々のトラフィックをさまざまな視点（識別子）から分析し、リスク度の高低や必要なセキュリティ処理の種類を判断して、どのセキュリティ機器にトラフィックを流すのかを設定できる機能だ。たとえば、宛先IPアドレスが既知の攻撃サイトのものであればブロックする、リスクの高い特定の国のものならば複数のセキュリティ機器に送って綿密にチェックする、一方で従業員のプライバシーにかかわるサイト（オンラインバンキング、ヘルスケアなど）であればバイパスする（復号しない）、といったポリシー設定ができる。