セクション1
現在はインターネット トラフィック全体の90 %近くが暗号化されていますが、今後は送受信されるほぼすべてのデータが暗号化の対象となるインターネットへと急速に移行しつつあります。これはプライバシーや秘密保持の面では優れていますが、セキュリティの面では重大な盲点となっています。
フィッシングによりインストールされたマルウェアのうち、暗号化で身を隠しているものの割合。
暗号化されたマルウェア:隠れた脅威
攻撃者は暗号化を利用して、ほとんどの検査デバイスを迂回して、ネットワーク内にマルウェアを配信することができます。また、暗号化されたデータは、精査されることなくセキュリティ ツールを飛び越えて流出していきます。F5 Labsの脅威調査によると、マルウェアの71 %はその指令制御元と通信する際に、暗号化を使用して身を隠すことが明らかになっています。さらに、マルウェア サイトの57 %とフィッシング サイトの95 %はアクセスされるのが一度だけであるため、インシデント対応調査が困難になっています。
サイバー犯罪者は、組織がトラフィックの復号や検査に関して問題を抱えていることを知っており、それを利用して利益を得ています。攻撃者は、スパイウェア、ランサムウェア、ルートキットなどのマルウェアやエクスプロイトを利用して、ユーザー、ネットワーク、アプリケーションを危険にさらし、個人データを盗み出します。
Verizon社の『2019年度データ漏洩/侵害調査報告書』によると、2018年には、すべてのデータ漏洩/侵害の28 %に何らかの形でマルウェアが関与していました。マルウェアは、犯罪組織が金銭的な利益を得るために利用するだけでなく、他国を混乱させたり、スパイ活動を行ったりするために国家機関が利用することも増えています。
暗号化されたトラフィックの可視性を高めることは、アプリケーションとビジネスを保護するための最も重要なステップの一つです。
この問題は新しいものではありません。サイバー セキュリティ業界は長年にわたり、マルウェアや悪意のあるトラフィックを検出またはブロックするためのツールを数多く設計してきました。組織は、ユーザーの行動を監視するための次世代ファイアウォール、ゼロデイ エクスプロイトを発見するためのサンドボックス、悪意のあるペイロードをブロックするための侵入防御システム、データの流出を防ぐためのデータ損失防止スキャナ、送受信トラフィックを保護するためのWebゲートウェイ サービスなどの技術を導入しています。
これらのソリューションは、マルウェアがユーザーのシステムに感染し、企業のネットワークやアプリケーションを危険にさらすことを防ぐために、長年にわたって進化してきました。しかし、これらのソリューションは大規模な暗号化/復号を目的として設計されたものではないため、暗号化されたトラフィックの内部を調べることはできません。暗号化されたデータの増加は、攻撃者にとってはチャンスであり、ネットワーク管理者にとっては頭痛の種となっていました。さらに悪いことに、多くの検査デバイスは、TLS 1.3のPerfect Forward Secrecy(PFS)の要件など、急速に変化する暗号化の状況に追いつくことができず、死角を生んだりパフォーマンスの低下を招いたりしています。アプリ、データ、組織をマルウェアから保護するには、暗号化から目をそらしている余裕はありません。
攻撃者は暗号化を利用して、ほとんどの検査デバイスを出し抜いてネットワーク内にマルウェアを配信し、誰にも気付かれずにデータを削除できます。
攻撃者は暗号化を利用して検出をかいくぐります。フィッシングはより一般的な攻撃シナリオの一つです。
フィッシングおよびマルウェアがどのように検出をかいくぐるか
暗号化されたマルウェアは、企業にとって最も深刻な脅威の一つであり、財務上の損失、評判の低下、サービスの中断、データの侵害につながるおそれがあります。この問題を悪化させているのは、感染したWebサイトにユーザーがアクセスしたり、フィッシング メールの悪質な添付ファイルをユーザーがクリックしたりすれば、卑劣なマルウェアに感染してしまうという事実です。
マルウェアでは検出されずにトラフィックをすり抜けられる暗号化がよく利用されており、フィッシングはより一般的な攻撃シナリオの一つです。無料または低コストのHTTPS証明書プロバイダを利用することで、攻撃者は簡単にマルウェアを侵入させ、盗んだ資産を流出させることができます。F5 Labsの『2019年版アプリケーション保護報告書』において、セキュリティ侵害の21 %はフィッシングが原因であったことが明らかになりました。この短いビデオで、フィッシング マルウェアを使用してセキュリティ侵害がどのように行われるのかをご覧ください。
攻撃者が開発するマルウェアは被害をもたらしたり、アクセス権を取得してデータを盗み出したりしますが、被害者が気付くことはまずありません。
暗号化された脅威からの防御
アプリ、データ、組織をマルウェアから保護するには、暗号化から目をそらしている余裕はありません。暗号化されたトラフィックの可視性を高めることは、今すぐに実行できる最も重要なステップの一つです。ただ、わからない点が残っています。アプリケーションのパフォーマンスを低下させずに実行するには、どのような方法が最良なのかということです。その答えについては、この記事をご覧ください。
TLS 1.3は解決策か?
Big Changes to Consider
セクション2
少し前までは、Secure Sockets Layer(SSL)またはTransport Layer Security(TLS)が政府機関や大手金融機関でほぼ例外なく使用されていました。現在では、TLS 1.3があらゆる種類の組織で使用され、数え切れないほどのサイトやアプリケーションから送信されるデータを保護しています。
. . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . .
現在、Web上で読み込まれるすべてのページの86 %近くがHTTPSで暗号化されています。
TLS 1.3の台頭
SSL/TLSの採用は、PCI DSS、HIPAA、EUの一般データ保護規則(GDPR)などの規制基準により、送信データの暗号化が義務付けられたことで加速しています。さらに、暗号化を行うサイトを優遇するGoogleの検索結果ポリシーによって、組織はSSL/TLSの採用に拍車をかけています。
しかし、SSL/TLSの台頭はすべてにおいて良いニュースだとは言い切れません。攻撃者が暗号化されたトラフィックの中に油断のならない攻撃を潜ませるケースが増えており、セキュリティ プロトコル自体が脅威の媒介物になっているのです。暗号化されたトラフィックの可視性を高めることは、アプリ、データ、ビジネスを保護するためにできる最も重要なステップの一つです。
TLS 1.3とは?
Webクライアント(インターネット ブラウザ)が安全なWebサイトに接続すると、データは暗号化されます。しかし、それはどのようにして行われるのでしょうか。どのような種類の暗号化が使用され、インターネット ブラウザはWebサーバーで使用される暗号化の種類をどのようにして知るのでしょうか。これはすべて、TLS暗号スイートとして知られているものによって決められています。このビデオでその仕組みをご覧ください。
TLS暗号スイートとは? >
TLS 1.3ハンドシェイク
クライアントとサーバー間のハンドシェイク プロセスは、新しいTLS 1.3プロトコルで大幅に変わりました。この新しいプロセスは、以前のバージョンよりもはるかに効率的で、暗号化されたアプリケーション データをはるかに高速で送信することができます。このビデオでは、TLS 1.3ハンドシェイクの概要と、その優れたすべての新機能について説明します。
TLS 1.3ハンドシェイク >
TLS 1.3へのアップグレード
暗号化標準は絶えず進化しているため、最新のベスト プラクティスを常に把握しておくことが重要です。TLSプロトコルの最新バージョン(バージョン1.3)は最近、インターネット技術タスクフォース(IETF)の承認を受けました。このプロトコルには、Perfect Forward Secrecy(PFS)対応の暗号化方式を使用する必要があることや、セッション再開のためにラウンドトリップ時間ゼロのハンドシェイクが導入されたことなど、いくつかの重要な変更点があります。このビデオでは、この新しいプロトコルの多くの重要機能について説明します。
企業におけるTLSの採用
TLS 1.3はIETFの承認を受けており、セキュリティ、パフォーマンス、プライバシーの面で大幅な改善が行われています。TLS 1.3によるパフォーマンスの向上は歓迎すべきアップグレードですが、PFSに関するセキュリティ上の課題がいくつかあり、復号と検査がますます困難になっています。
しかし、PFSでは、受動的な検査を実行する機能も削除されており、悪意のあるトラフィックを発見したり、暗号化されたトラフィックに潜む攻撃から防御したりすることが一段と困難になっています。TLS 1.3の導入に関する組織の戦略、ポリシー、アプローチの詳細については、『企業におけるTLS 1.3の採用』レポートをお読みください。
暗号化に関する最大の懸念はアプリケーションのセキュリティを監視する能力だと答えたIT担当者の割合。
暗号化されたパケットの検査
Know Your Options
セクション3
SSL/TLSトラフィックの増加に伴い、企業は広範な暗号化の需要の高まりにネットワークとアプリケーションが対応できるようにするためのソリューションを見つけなければならなくなりました。
. . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . .
何もしないのは災いの元
多くの組織では、暗号化されたトラフィックに潜んでいるマルウェアを既存のセキュリティ スタックで検出する態勢が整っていません。しかし、攻撃者がセキュリティ デバイスからは見えないトラフィックに悪意のあるコードを隠すケースが増えているため、「何もしない」という選択肢は災いの元となります。また、検査ツールに費やした費用や、検査ツールを維持するために費やした労力も無駄になります。表面上はいくつかの選択肢があるように見えますが、本当に効果があるのはそのうちの一つだけです。
01 | すべてを復号?
ユーザーのプライバシーが話題になる前は、多くの組織がSSL/TLSを入口で終了させ、データ センター内ではすべてのデータがクリアテキスト形式で自由に流れるようにしていました。
GDPRなどの規制が施行され、データの侵害や悪用が注目を集めたことでプライバシーが大きくクローズアップされている今、これはもはや現実的な選択肢ではありません。収集するデータの種類とそれに対応する管轄範囲によっては、さまざまなプライバシー法や規制の対象となる可能性があります。
02 | 復号ゾーンの設定
一部のセキュリティ チームは、復号ゾーン(エア ギャップ)を設定します。このゾーンでは、送受信されるトラフィックを復号し、セキュリティ検査ツールのデイジー チェーンを通過させた後、再び暗号化します。
このソリューションでは一応、隠れたマルウェアを発見できますが、ルーティングが複雑になり、アーキテクチャを変更しにくくなります。また、インライン セキュリティ デバイスで障害が発生すると、壊滅的な停止状態が生じる可能性があります。
03 | オーケストレーション
オーケストレーションは最も効果的な選択肢です。ポリシーベースの復号とトラフィック ステアリングを送受信両方のトラフィックに適用することで、マエストロのようにセキュリティ デバイスのオーケストレーションを行うことができます。
高性能のSSL/TLSオーケストレーション ソリューションは、セキュリティ スタックの安全性、効率性、回復性を高めながら、可視性を向上させ、アプリを保護します。SSLの復号と再暗号化の処理は一度だけなので、デイジーチェーン アプローチのレイテンシを自動的に解消できます。
このプロセスは非常に重要であるため、NSAは「Managing Risk from Transport Layer Security Inspection(トランスポート層のセキュリティ検査によるリスクの管理)」と題した勧告を発表しました。この勧告によると、リスクを最小限に抑えるために、TLSトラフィックの分割と検査は企業ネットワーク内で一度だけ行う必要があります。また、この勧告では、クライアントとサーバー間のトラフィック フローがフォワード プロキシによって復号、検査、再暗号化された後、別のフォワード プロキシに転送されて同じことが繰り返される冗長なTLSIを使用しないよう強く推奨しています。
SSL/TLSトラフィックをオーケストレーションすることで、重要なアプリケーションのパフォーマンスを最適化しながら、セキュリティ ソリューションの効率を最大限に高めることができます。
SSLの可視性を生かして暗号化された脅威を見る
セキュリティ検査ツールでは、SSL/TLSトラフィックが認識されないケースが増えています。セキュリティ ソリューションの中にはネイティブの復号機能を搭載しているものもありますが、復号と暗号化を大規模に実行することは、その中心的な目的でも焦点でもありません。これがなければ、暗号化されたトラフィックは、セキュリティ スタック全体で復号/検査/再暗号化プロセスを繰り返す静的なデイジー チェーンを通過しなければなりません。
このプロセスは、貴重な時間とリソースを消費し、レイテンシを増やし、ユーザー エクスペリエンスを低下させます。さらに、過剰なサブスクリプション、つまり過大なセキュリティ サービスによるコストの増加を容易に招きかねません。
F5 SSL Orchestratorは、フルプロキシ アーキテクチャと動的サービス チェイニングを備えており、実際の環境でのマルウェア対処方法に真のパラダイム シフトをもたらします。SSLの可視性により、暗号化された脅威から保護します。
暗号化されたマルウェアを阻止する準備はできていますか?
SSL Orchestratorは、SSL/TLSとHTTPの両方のフル プロキシとして機能するため、送受信の暗号化要件がいかに複雑であっても、送受信トラフィックをセキュリティ スタック内のサービス チェーンに誘導するためのインテリジェントな決定を下すことができます。
SSL Orchestratorがどのようにして、暗号化された受信アプリケーション トラフィックを可視化するのかをご覧ください。セキュリティ サービスのチェーンを動的に構築し、コンテキストベースのトラフィック ステアリングを適用する方法もご紹介しています。
オーケストレーションのメリット
Moving Beyond Visibility
セクション4
暗号化されたトラフィックの可視性を高めることが、お客様のデータを保護するための鍵となることが明らかになりました。SSL/TLSオーケストレーション ソリューションは、送受信トラフィックに対してコスト効率の良い復号および暗号化を提供し、柔軟なポリシーベースのアプローチでリスクを軽減します。
. . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . .
F5のSSL Orchestratorは、送受信のSSL/TLSトラフィックの復号において高いパフォーマンスを発揮し、セキュリティ検査によって脅威を特定し、攻撃を阻止し、ビジネス リスクを低減できます。
01 | 暗号化トラフィックに対する可視性
堅牢なSSL/TLSソリューションにより、復号と再暗号化に加えて、強力な暗号サポート(TLS 1.3を含む)が提供され、暗号化されたトラフィックで何が起きているのかを確認することができます。
02 | 最適な柔軟性
フルプロキシ アーキテクチャを備えたソリューションにより、インフラストラクチャ内のさまざまなセキュリティ検査デバイス、ネットワーク トポロジ、およびサポートされている暗号に対する制御性と柔軟性を高めることができます。また、セキュリティ デバイスを監視して負荷バランスをとることで、セキュリティ デバイスを最も効率的に機能させることができます。障害が発生した場合は、デバイスを完全にスキップすることもでき、ネットワークの回復性が向上します。
03 | 効率的で動的なサービス チェイニング
ここに本当の魔法があります。F5 SSL Orchestratorは、セキュリティ サービスを動的に割り当て、チェーン化し、再利用することができます。つまり、異なる種類のトラフィックを異なるセキュリティ デバイスのセットを介して駆動し、そのデバイスを異なるチェーンで再利用することもできますし、検査が不要なトラフィックについてはまったく使用しないことも可能だということです。この仕組みによってトラフィックを容易に分類できるようになり、特定のユーザーの役割など、さまざまな要因に基づいて、検査デバイスやその周辺へのルートをインテリジェントに設定することができます。また、セキュリティ サービスを動的に割り当てたり、チェーン化したり、その場で再利用したりすることもできます。
動的なサービス チェイニングにより、SSL/TLSソリューションを拡張し、組織を最も確実に保護できる領域に現在のセキュリティ デバイスを集中させることで、最大限に活用することができます。さらに、ダウンタイムに見舞われることなく、セキュリティ サービスを追加または削除することもできます。
04 | パフォーマンスの向上
復号/再暗号化プロセスはいくつもあるわけではなく1つだけであり、その目的のためだけに作られた高性能のオーケストレーション デバイスによって実行されます。
05 | 一元管理
一元管理が可能なSSL/TLSソリューションを選択することで、SSL/TLSを使用したネットワーク接続のセキュリティ確保に役立つ暗号スイートの選択および更新プロセスを簡素化できます。これにより、トラフィック検査セキュリティ ツールのパフォーマンスが向上し、エンドツーエンドの暗号化で使用する暗号をより柔軟に管理できるようになります。必要に応じて、このソリューションは連邦情報処理標準(FIPS)で概説されているセキュアなキー ストレージをサポートすることができます。
SSL Orchestratorはフルプロキシ アーキテクチャを採用しており、さまざまなプロトコルや暗号化方式に対して、より高い制御性と柔軟性を発揮します。
現在のインフラストラクチャとの統合およびオーケストレーション
SSL Orchestratorは、主要なセキュリティ パートナーとの統合によって既存のアーキテクチャに簡単に適合します。このソリューションによって作り出されるエコシステムでは、セキュリティが強化され、規模と可用性が向上し、運用コストが削減されます。SSL Orchestratorでは、複数の導入モードがサポートされており、複雑なアーキテクチャに簡単に統合して、送受信の両方のトラフィックでの復号を一元化できます。
SSL Orchestratorはフルプロキシ アーキテクチャを採用しており、さまざまなプロトコルや暗号化方式に対して、より高い制御性と柔軟性を発揮します。また、負荷の分散、監視、障害が発生したデバイスのスキップも可能です。このアーキテクチャにより、拡張性を高めるだけでなく、既存のセキュリティ投資を最大限に活用することができます。
現在のインフラストラクチャでSSL Orchestratorがどのように機能するかをご覧ください
F5 SSL Orchestratorは、既存のアーキテクチャや変化し続けるアーキテクチャと簡単に統合して、SSL/TLS復号/暗号化機能を一元管理できるように設計されており、セキュリティ インフラストラクチャ全体に最新のSSL/TLSプロトコル バージョンと暗号化方式を提供します。
SSLの可視性はあくまでも出発点です。組織はセキュリティ投資をより適切に管理する必要があり、そうすることで、SSL Orchestratorの強みが実際に発揮されます。
可視性は欠かせませんが、SSL Orchestratorはさらに先へと導きます
F5 SSL Orchestratorを環境に追加することで、暗号化されたトラフィックを確実に復号し、セキュリティ コントロールで検査した後、再暗号化することができます。その結果、セキュリティ検査技術への投資を最大限に生かすことができ、悪用、コールバック、データ流出などの送受信による脅威を防ぐことができ、サイバーレジリエンス戦略を強化することもできます。セキュリティ チェーン全体で暗号化されたすべてのトラフィックのフローを管理するメリットについては、この記事をお読みください。
顧客事例:メディカル・データ・ビジョン株式会社
「当社は臨床データを扱っているので、セキュリティは業務システムの根幹であり、その維持には細心の注意を払う必要があります。標的型サイバー攻撃の脅威はますます増大しており、常に先手を打たなければなりません。」
渡邉幸広氏
メディカル・データ・ビジョン株式会社、さくらDB部門長、シニア マネージャ
SSL/TLSトラフィックの増加は、組織が顧客データの保護に力を入れ、GDPRのような暗号化関連のコンプライアンス義務を満たしていることを示しています。
セキュリティ検査デバイスでアプリ、ユーザー、ネットワークを保護できるようにするには、可視性にとどまらず、暗号化されたトラフィックの検査をオーケストレーションすることが不可欠です。堅牢なSSL/TLSオーケストレーション ソリューションを使用すれば、可視性、パフォーマンス、柔軟性が向上し、隠れているマルウェアやアプリケーション エクスプロイトを心配しなくてもよくなり、ビジネスを推進する新しいアプリの開発とサポートに集中することができます。
F5のセキュリティ専門家にご相談ください
セキュリティに関するご質問や問題、ご相談がありましたら、お気軽にお問い合わせください。ご連絡をお待ちしております。
1営業日以内に電子メールでご連絡いたします。