SSL/TLSは現代のインターネットに欠かせない仕組みですが、その安全性を確保するには 処理負荷や運用負担の関係上、既存のものより高くなります。 ここでは、あらためてSSL/TLSとは何か、そのセキュリティ上の課題、そして課題に有効なセキュリティソリューションの紹介をいたします。
そもそもSSL/TLSとは
SSL/TLS(Secure Sockets Layer / Transport Layer Security)は、クライアントとサーバー間のデータ通信を暗号化する技術です。
第三者は通信を復号しない限り内容を読むことができないため、通信の盗聴や情報漏洩といった脅威に対して高い効果を発揮します。
更に、その仕組み上なりすましや中間者攻撃の防止にも有効です。
なお、現在主に使われているのは TLS であり、古いバージョンであるSSLはほとんど利用されていません。
しかし一般的には総称して「SSL通信」と呼ばれたり、「SSL/TLS」と表記されることが多いため、本記事でも「SSL/TLS」と表記します。
なぜSSL/TLSインスペクションが必要なのか
SSL/TLSは現代の通信に不可欠の存在ですが、一方で新たな課題も生みました。
もしもマルウェア配布や不正アクセスがSSL/TLS通信で行われると、ファイアウォールやUTMでは中身を検査できません。
守りのための暗号化技術が攻撃の隠れ蓑になってしまうのです。
そこで必要になるのが SSL/TLSインスペクションです。これはUTMなどに搭載されている、通信を一度復号して検査する機能です。 この機能を使うと暗号化された通信の中に潜む脅威を検出できるようになります。
オンプレミス環境における課題
しかし、SSL/TLSインスペクションをオンプレミス環境下のネットワーク機器で実施しようとすると、高い障壁が発生します。
代表的なのは、十分な処理性能を持った機種を選定する必要がある点です。
SSL/TLSの復号と再暗号化の処理は非常に重く、機器に大きな負担をかけることになります。
SSL/TLSインスペクションを十分に処理するためには、現在導入している機器より上位の機種を選定する必要があります。
こうした機器の選定以外にも、その導入や運用管理には専門知識が求められます。
総じて導入・運用のコストが膨らむ恐れがあるのです。
結果として、オンプレ環境でSSL/TLSインスペクションを安定的に運用することは、特にリソースが限られる企業にとって大きなハードルとなります。
SASEが注目される理由
こうした課題を解決する手段の一つが SASE(Secure Access Service Edge) ソリューションです。 SASEソリューションでは、ネットワークとセキュリティをクラウドサービスとして提供するため、オンプレ機器に大きな負荷をかけずにSSL/TLSインスペクションを実現できます。
対策可能な製品
宝情報ではHarmony SASE Internet Accessを取り扱っております。 従来のSecure Web Gateway (SWG)とFirewall as a Service (FWaaS)の機能をクラウド上で提供し、どこにいても統一されたセキュリティポリシーを適用できます。
オンデバイス検査で 快適な動作
WEBフィルタリングやマルウェア防御などの一部の機能は デバイス上で 実施。 クラウドを経由する遅延を最小化し、快適な動作を保証します。
導入・運用の手間を解消
端末にエージェントをインストールするだけの簡単導入。さらにはサポートサービスも付属。 SASE製品の大きなハードルとなっていた専任者がいないといったお悩みが解消されます。
まとめ
SSL/TLSは現代のインターネットに欠かせない仕組みですが、その安全性を確保するには
処理負荷や運用負担など、いくつかのハードルを越える必要があります。
この課題を解決するクラウド型のアプローチとして、SASEは有効な選択肢となります。
しかし、既存の導入機器やソリューションが全く必要ではなくなるわけではありません。 それらとうまく組み合わせるよう導入することが一番無理のないアプローチになります。