株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

「常時SSL化」時代に向けたセキュリティ対策指南書

5. 「常時SSL化」時代に向けたセキュリティ対策

Webサイトの常時SSL化により、クライアントとWebサーバー間の情報の秘匿性が確保できる反面、セキュリティ対策機能が無効化されることが懸念されます。しかし、常時SSL化は確実にインターネットの常識となっていることから、インターネットを活用する企業はそれぞれが対策を施す必要があります。
『「常時SSL化」時代に向けたセキュリティ対策指南書』においては、現状で行える対策に関して説明します。

ロードバランサ―など通信機器を活用し「SSL インスペクションゾーン」を実装

確実な対策は、SSLで暗号化された通信データを参照可能な状況に「復号」し、既存のセキュリティ対策機能を正しく作動させることです。しかし、SSL復号処理はネットワークの通信レスポンスに多大な負荷を与えることが懸念されています。そのため、多くのSSL復号ソリューションはネットワーク機器ベンダーやセキュリティ対策機器ベンダーが、通信への影響を抑える工夫がされています。

SSL復号ソリューションは、クライアントとサーバーの間に構成されたネットワーク機器が暗号化データを一時的に復号し、各セキュリティ機器にデータを通過させた後に再暗号化、そしてクライアントにデータを渡すという、いわゆるプロキシ(代理)機能を提供するものです。
基本的な考え方は、クライアントが暗号化されたWebサーバーに接続する際、SSL復号処理機器がWebサーバーに成り代わり暗号化接続を行います。また、SSL復号処理機器はクライアントに成り代わりWebサーバーとの暗号化接続を行います。この独立した二つの暗号化接続の間で可視化された情報を、セキュリティ対策機器にデータを転送することで脅威を発見します。

暗号通復号処理(SSLインスペクションゾーン)の仕組み

図10 暗号通復号処理(SSLインスペクションゾーン)の仕組み

SSLインスペクションゾーン

SSL復号機能は、複数のロードバランサ製品やUTM製品、プロキシ製品などが実装しており、すでに侵入検知システムやウイルス対策ゲートウェイ、情報漏洩対策製品を活用している場合にはロードバランサ製品を用いることが一般的です。ラックでは、複数のセキュリティ対策機器に対して復号したデータを利用できるネットワーク領域を、「SSLインスペクションゾーン」と呼んでいます。

エンドポイントでの水際対策を実装する

WebブラウザによりSSL暗号化通信を行った場合、実際の通信データは暗号化されていますが、Webブラウザなどアプリケーション側では平文(非暗号化状態)で取り扱われています。暗号化通信で不正なプログラムやスクリプトなどが送られたとしても、エンドポイントセキュリティ製品が復号されたデータを分析することで、サイバー攻撃を検知することが可能です。

しかし昨今では、従来のウイルス対策製品が実装しているシグネチャマッチング型のウイルス検知システムだけでは、対策が不十分であると言わざるを得ません。そのため、不正とみられる挙動を監視するビヘイビアブロッキング技術*8、マルウェアの動作を安全なサンドボックス環境*9 で確認する機能などを実装していますので、最新の技術を活用したエンドポイントセキュリティ製品の導入が必要です。

また、水飲み場型攻撃のように、攻撃手法が判明しにくい標的型攻撃など、被害を受けてしまうことを見越したEDR(Endpoint Detection & Response)製品の導入も重要です。EDR製品は、セキュリティ侵害が発生した際に被害の発生経路や被害内容を調査することを可能とするソリューションで、企業内部で発生したサイバー攻撃の痕跡などを収集し、分析と対処を可能とするものです。

Webサイトのアクセス制限を実装する

SSLによる暗号化通信を行った場合であっても、通信先のサーバーのIPアドレスなどは判定が可能です。
多くの企業においては、プロキシサーバーを社内外のネットワーク境界に設置されていると考えられ、これらの機器により不正な情報を公開しているWebサーバーへの接続を拒否するなどの対策が可能です。社員が使用するWebブラウザでのアクセスはもちろん、クライアントコンピュータで動作するマルウェアが、犯罪者の公開しているサーバーに情報を送信する場合などにも検知することができる可能性があります。

これら不正なサイトの情報は、レピュテーションデータベースとして通信機器の接続拒否リスト(脅威インテリジェンス情報)として提供するサービスがあるため、これらを活用することでサイバー攻撃を抑制できる可能性はありますが、あくまでもネットワークおよびエンドポイントセキュリティ対策の補助と考えてください。

効果的なセキュリティ対策の取り入れ方

SSLによる暗号化通信に対して、暗号化通信データの復号による可視化、エンドポイントによるサイバー攻撃検知、不正サイトへのアクセス制限の3つの手段について紹介しましたが、これら対策の採用に関してはそれぞれの対策の特性を考慮した導入が必要です。

  SSLインスペクションゾーン エンドポイントセキュリティ Webサイトアクセス制限
EPP EDR
ビジネスにインターネット利用が必須  
ロードバランサ―など高速接続が必要      
ネットワークセキュリティ製品を利用中      
社員にWeb閲覧を許可している    
事故発生時の原因調査が必須      
CSIRTを設置している

1.SSLインスペクションゾーンを構築し、対策をすべき企業

SSLインスペクションゾーンの構築は、ネットワーク機器の初期投資や運用負荷など、導入のハードルは低くありません。しかし、この対策が最も効果が高いことから次のような企業が対策を導入検討すべきです。

  • インターネットがビジネスに密接に関係している企業
  • ロードバランサ―などを用いた高速接続を必要とする企業
  • 侵入検知システムやネットワーク経路上のウイルス対策製品、情報漏えい対策製品などのセキュリティ対策の運用を行っている企業
  • インシデント対策の専門家チームであるCSIRTを設置している企業

2.エンドポイントセキュリティ製品による水際対策をすべき企業

エンドポイント機器へのセキュリティ対策製品の導入は、ほぼすべての企業が実施していますが、最新のセキュリティ対策技術を活用したエンドポイント製品(EPP)および、セキュリティ侵害を検知および分析を行うEDR製品の導入については、次のような企業が対策を導入検討すべきです。

  • 社員にインターネットへのアクセスを許可している企業
  • CSIRTを設置したり、事故発生時の原因調査を必要としている企業

3.Webサイトアクセスの制限を実装すべき企業

Webサイトへのアクセス制限は、ホワイトリスト形式や脅威インテリジェンス製品の組み込まれたネットワーク製品を導入することになりますが、この対策はあくまで補助的なものであると考えるべきで、次のような企業が対策を導入検討すべきです。

  • 社員にインターネットへのアクセスを許可している企業
  • CSIRTを設置したり、事故発生時の原因調査を必要としている企業

  • *8 ソフトウェアの行動の内容から不正なソフトウェアと判断する技術
  • *9 マルウェアを動かしても実際のシステムには影響を及ぼさない隔離環境のこと

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top