常時SSL化の落とし穴

常時SSL化とは？

常時SSL化とは、Webサイト内の全ページを HTTPS通信の対象とし安全性を高めるという意味使われています。

常時SSL化を推奨する動きは2011年ごろから徐々に始まりました。公衆無線LANなどのWi-Fi接続環境が普及する事で、HTTPでは保護されないCookieの盗聴などのリスクを防ぐ方法として提唱されはじめました。

なぜ、SSLトラフィックが増加していくのか？

SSL通信のトラフィック量は年間30%の拡大規模で進むといわれています。

これ程 SSL通信が増加する背景には何があるのでしょうか？

常時SSL化が引き起こす落とし穴とは？

では、常時SSL化は全ての課題を解決するのでしょうか？

常時SSL化を進める事は、通信内容を第三者に盗ませないという目的については極めて有効な手段です。
しかし、インフラ担当者は常時SSL化の負の側面を理解しておく必要があります。
常時SSL化が進む一方、SSL通信を攻撃の隠れみのに悪用した攻撃は年々増加しているという事実があります。
Gartnerは、『2017年にはネットワーク攻撃の50％がSSL化される』と予測しています。

通常、企業では次世代ファイアウォール、標的型攻撃対策用のサンドボックス製品、IPS、WAF、DLP等のセキュリティ製品を導入し、機密情報の流出をさせない為に多層的な防御対策を講じています。
しかしながら、こうしたセキュリティ製品もSSLで暗号化された通信内容を復号化した後で精査をしなければ不正な攻撃を検知することはできません。

例えば、最近の標的型攻撃はこのSSL暗号の特性を悪用し、社内ネットワークに侵入し、外部のC&Cサーバとの通信にもSSL通信を行うといった巧妙な手法で企業が用意した多層的なセキュリティ対策をかいくぐって重要情報を盗み出しています。
つまり、常時SSL化によりSSL通信が増えれば増える程、新たな脅威が増える脅威がつきまといます。

必要な対策とは？～SSL通信の可視化とその課題～

インフラ担当者がすべき対策は「SSL通信の可視化」です。

データの中身をセキュリティ製品が検査できない原因は、SSLにより暗号化されているためです。SSL通信の中身を一旦復号化し、可視化した後に検査すれば、SSL通信を悪用した攻撃を防ぐ事が可能になります。
ただし、SSL通信の可視化を実施する場合、セキュリティ製品によってはSSL通信の復号化機能を持ち合わせていなかったり、機能はあっても、SSL暗合化/復合化の負荷が高い為に、性能が極端に低下するという問題を抱えてしまいます。

暗号化/復号化処理は暗号鍵の長さ(1024bit、2048bit、4096bit)が長い程、CPUリソースを消費します。以前では鍵長は1024bitが一般的でしたが、現在では2048 bitの採用が主流です。
さらに高いセキュリティが求められるケースでは、4096 bitが用いられています。
一般に鍵長を1024bitから2048bitへ増やすとCPUのは4～7倍増えるといわれ、パフォーマンスは80%ほど低下してしまいます。
鍵長を1024bitから4096bitへ増やすと約17倍の負荷がかかってしまいます。
常時SSL化により対象となるSSL通信が増加傾向にある今、この処理負荷はさらに大きな負担となります。

このSSL暗合化/復合化処理の負荷対策として有効なのが、SSLの暗号化/復合化専用のハードウェアを搭載したハードウェアアプライアンス製品へ処理をオフロードする方法です。
このようなアプライアンスは、汎用CPUにとって負荷の大きい暗合化/復合化処理をASICなどの専用ハードウェアに処理を任せることでパフォーマンス劣化を防ぐ仕組みを持ち合わせています。

F5がどう解決するか

F5のハードウェアアプライアンス(BIG-IP/VIPRION)は、常時SSL化により増加するSSL通信を可視化するのに最適な製品です。

F5は高速にSSLの暗合化/復合化処理を行う為の専用ハードウェアを設計、製造しています。
その為、インバウンドあるいはアウトバウンドのSSL暗合化/復合化を高速に処理し可視化する事ができます。
パフォーマンス低下等の理由でSSL通信を検査する事が難しかったセキュリティ製品(標的型攻撃対策製品、次世代IPS等)と連携することで、暗号化トラフィックの検査が可能になります。

F5ソリューションの特徴

導入事例

F5のWAFを導入しセキュリティを強化した企業事例