株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

自分で調べる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

セキュリティ製品

SSL復号・可視化ゾーン構築支援ツール「SeeLAC」

SSL通信の復号(可視化)を独自のテンプレートで容易に実現し、暗号化されたサイバー攻撃をセキュリティ対策機器で検知できる「SSL可視化ゾーン」の構築を支援。

SeeLAC

身代金ウイルス(ランサムウェア)や詐欺サイト(フィッシングサイト)、不正送金などの犯罪が急増し、これらの保護のために急速に普及したWebサイトの常時暗号化(SSL化)は、暗号化通信内を隠れ蓑にしたサイバー攻撃を従来のセキュリティ対策製品で検知できないことが、セキュリティ対策上の課題として顕在化しつつあります。また、個々のセキュリティ製品にてSSL復号処理を行う方法はあるものの、暗号化された通信を復号し、再暗号化する「SSL復号処理」が必要であり、これが通信速度の低下や運用負荷の増大、導入コストの負担増などを引き起こすことから導入の妨げになっていました。

このような中、ラックはテクマトリックス株式会社と、SSL通信の可視化を容易に実現できる設定テンプレート「SeeLAC(シーラック)」を共同開発し、「SSLインスペクションゾーン※1 (SSL可視化ゾーン)」を実装して、セキュリティ対策機器が持つ本来の能力を引き出すことで、暗号化されたサイバー攻撃をセキュリティ対策機器で検知出来るようにしました。

※1 ラックでは、複数のセキュリティ対策機器に対して復号したデータを利用できるネットワーク領域を「SSLインスペクションゾーン」と呼んでいます。

SSL通信によるセキュリティ上の課題

さらに詳しく知るにはこちら

「常時SSL化」普及による新たな問題

セキュリティ対策製品は、通信内容を分析することでサイバー攻撃などのマルウェアを検知していますが、SSLなどの通信内容が暗号化された状況では、製品はその機能を十分に発揮することができません。

セキュリティ製品ごとにSSL通信を復号すると負荷が増大

セキュリティ対策機器ごとにSSL通信を復号することにより、セキュリティチェックを行うことは可能になりますが、機器への負担が増え、本来のチェック機能のパフォーマンスが低下するといった課題があります。

セキュリティ製品ごとに復号すると、機器に負荷がかかる

セキュリティ製品ごとに復号すると、機器に負荷がかかる

主な課題

  • SSL通信を可視化するための機能(復号)は、セキュリティ機器の主要機能ではないため、最新の暗号方式への対応やマイナーな暗号方式への対応が遅くなることがある
  • SSL可視化の処理には機器に負荷がかかり、セキュリティ対策機器の本来の機能を十分に発揮できず、ネットワークの停止や監視機能の停止などの問題を引き起こしやすい
  • セキュリティ機器ごとにSSL復号機能を実装する必要があるため、復号機能を有した製品の選定やサイジング、暗号方式のバージョンアップ毎の対応など運用管理の手間がかかる

SSL復号専用機を用いてSSL通信を復号するには実装が困難

SSL復号専用機で、セキュリティ機器への復号の負荷を分散させるには、 復号したデータを利用できるネットワーク領域「SSLインスペクションゾーン」を実装する必要があります。
このゾーン内であれば、セキュリティ対策機器の本来のチェック機能が十分に発揮できますが、SSLインスペクションゾーンを導入するためには技術的に多くの課題があります。

SSLインスペクションゾーンの構築にはSSL復号専用機の設定が困難

SSLインスペクションゾーンの構築にはSSL復号専用機の設定が困難

主な課題

  • SSL復号専用機でSSLインスペクションゾーンを実装するためには、ネットワーク/SSL/セキュリティに関する知見に加え、SSL復号専用機の高度な技術力が必要になる
  • SSL復号専用機でSSLインスペクションゾーンを実装するために必要な設定項目数は平均で数百にのぼり、SSLインスペクションゾーンの設計からSSL復号専用機の導入までに非常に多くの時間を要する
  • 既存システムに対してSSL復号専用機によるSSLインスペクションゾーンを実装するためには、導入済み機器のIPアドレス変更など既存ネットワーク構成への影響を考慮する必要がある

課題を解決する「SeeLAC(シーラック)」とは

「SeeLAC」は、これまでのSSL復号専用機(F5 BIG-IP)の技術的な課題を解決し、SSLインスペクションゾーン構築を容易な設定だけで実現できる専用テンプレート(iApps)です。

SSLインスペクションゾーン実装後は、セキュリティ対策製品の機能を十分に発揮させるとともに、管理や運用の手間を大幅に軽減します。各セキュリティ機器に必要だった、SSL復号機能の実装と暗号方式のバージョンアップなどがBIG-IPのみで統合的に実現でき、運用負荷の軽減を図ることが出来ます。

さらに新しいセキュリティ機器を追加する場合も、SSL復号機能やサイジングを考慮した製品の選定をする必要がなくなります。

F5 BIG-IP

f5ロゴ

負荷分散装置(ロードバランサ)を中心とする、トラフィック管理やアクセス管理などを行なう通信制御装置などの製品群です。SSLアクセラレータの機能の搭載他、SSLインスペクションゾーン実装機器として最適な以下の機能をF5 BIG-IPは兼ね備えています。

  • 専用設計のHWチップによる高速なSSLオフロード
  • 豊富な機能とパラメータ
  • 柔軟で高度な実装の自由度を実現するOSアーキテクチャ(TMOS)

ラックの持つネットワーク/SSL/セキュリティに関するノウハウと、F5 BIG-IP製品における高い技術力を持つテクマトリックス社の知見を活用し、開発されたBIG-IP設定テンプレートが「SeeLAC」です。

SeeLACは、BIG-IPによるSSLインスペクションゾーン実装の問題点を解決します。

SeeLACとBIG-IPでSSLインスペクションゾーンの構築が容易に実現

SeeLACとBIG-IPでSSLインスペクションゾーンの構築が容易に実現

SeeLACの特長

  • 難易度の高い設定を簡素化
    SeeLACは複雑な設定を簡素化した設定テンプレート(iApps)です。ネットワーク/SSL/セキュリティ/BIG-IPに関する特別な知見を必要とすることなく、SSLインスペクションゾーンを実装することが可能です。
  • 導入コストを削減
    SeeLACのヒアリング・パラメータ数は約50個です。実際には数百個以上※2 の項目をBIG-IPに設定する必要があるため、工程数や試験工数が大幅に短縮でき、導入コスト削減を実現します。
    ※2 連結するセキュリティ対策機器数や環境により変動します
  • 既存のネットワーク環境へ影響を与えずにSSLインスペクションゾーンの実装が可能
    SSLインスペクションゾーンのエリア内では、機能が異なる複数のセキュリティ対策機器の配置において、各機器への煩雑な設定を省くことができます。また、SSLインスペクションゾーンの実装は、既存サブネットとのIPセグメントの重複が可能であり、既存ネットワーク環境を変更せずに実装できます。
  • BIG-IPの設定変更が容易
    将来的にセキュリティ対策機器を追加する際や証明書の入れ替えなどの運用におけるBIG-IPの設定変更は、SeeLACを介して容易に行うことが可能です。
  • JSOC® MSSとの高い親和性
    JSOCでの監視の知見をフィードバックしており、運用を想定した設計をしているためJSOCの監視に適しています。

価格

SeeLAC単体での販売はしておりません。F5 BIG-IPによるSSL復号ソリューションとしての提供となりますので、個別のお見積もりになります。お問い合わせください。

* 記載されている会社名、製品名は、各社の登録商標または商標です。

お問い合わせ

SeeLACに関するお問い合わせ

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top