SSL/TLS通信を隠れ蓑にしたサイバー攻撃が急増
インターネットのセキュリティは、しばしば「攻撃と防御のいたちごっこ」と表現される。ひとつのセキュリティ対策が開発されると、攻撃者はその上を行く手法を考えだし、その繰り返しがずっと続いているためだ。また、ある対策が別の脅威を生み出すこともある。SSL(Secure Sockets Layer)/TLS(Transport Layer Security)を隠れ蓑にした標的型攻撃はその典型だ。
最近では、インターネットを安心・安全に利用するために、SSL/ TLSを用いたWebサイトの暗号化が普及しつつあり、国内でもWebサイトの多くが暗号化の採用に踏み切っている。当初はユーザーID/パスワードやクレジットカード番号などをやり取りするページのみが対象だったが、今日では安全性をより高めるため、すべてのページでのやり取りを暗号化する「常時SSL/TLS化」が一般化しつつある。今後もこうした流れが加速していくのは間違いないと考えられ、ごく近いうちにほとんどのWebサイトがSSL/TLSを採用することになろう。
その一方で、SSL/ TLSによる暗号化が、サイバー攻撃の隠れ蓑となるリスクも高まっている。暗号化された通信は、いったんデコード(解読) しなければ内容をチェックできない。そこでSSL/TLSによる暗号化を悪用し、ユーザーの端末にマルウェアを送り込んだり、侵入したマルウェアがC&C(Command and Control)サーバーと通信を行ったりする攻撃手法が登場したのだ。そしてこの種のHTTPSを悪用した攻撃の数は年々増え続けているという。
こうした状況を受けて政府のサイバーセキュリティ戦略本部は、『政府機関等の情報セキュリティ対策のための統一基準(平成30年度版)』*1 の中で、調達する情報システムのセキュリティ要件のひとつとして「監視するデータが暗号化されている場合は、必要に応じて復号すること」を挙げている。このガイドラインはあくまで政府機関向けのものだが、民間企業の情報システムにも同様に求められるセキュリティ要件といえよう。
A10 Thunderとの連携で、高精度と高可用性を同時に実現
このような現状に対応するため、15年連続でマーケットシェアNo.1*2 の実績を持つALSIの法人向け国産Webフィルタリングソフト「InterSafe WebFilter」では、2018年11月1日にリリースしたVer. 9.0SP1において、セキュリティ機能を大幅に強化した。そのひとつが、A10ネットワークスの次世代アプリケーションサービスゲートウェイプラットフォーム「A10 Thunder 」との連携によるSSL/ TLS通信の可視化である。
従来よりInterSafe WebFilterはSSL/TLSの可視化に対応しているが、フィルタリングに加えて暗号のデコードまでを行おうとすると大きな負荷がかかってしまう。そのため、増え続けるSSL/ TLS通信に対応するには高性能なハードウェアを用意する必要があり、そのコストが大きな課題となっていた。
その点、A10 Thunderならば、膨大な量のセッションを収容することが可能で、多彩なネットワーク制御機能を提供できる。これとInterSafe WebFilterを組み合わせることで、A10 ThunderがSSL/TLS通信をデコードし、InterSafe WebFilterが平文のデータを処理するといった連携が可能になる。つまり、フィルタリングとデコードを別のハードウェアで行うことで負荷を分散させ、ネットワークを効率化することで パフォーマンスの大幅な向上が期待できるのである。
通信の具体的な流れは以下のようになる(図1参照)。
① A10 ThunderがクライアントからWebサーバーに向けたHTTP/HTTPSの通信をインターセプト。HTTPの通信は平文のまま、HTTPSの通信はデコードして平文化し、ICAPプロトコルでInterSafe WebFilterへ送信。
② InterSafe WebFilterは、送られてきたHTTP/HTTPS通信のWebフィルタリングを実施。HTTP/HTTPSリクエストの送信可否をICAPプロトコルでA10 Thunderに通知。
③ このときアクセスをブロックするのであれば、InterSafe WebFilterの規制画面をクライアントへ転送。
④ アクセスを許可するのであれば、HTTP通信はそのまま、平文化されたHTTPS通信はA10 Thunderが再び暗号化し、Webサーバーにフォワード。
⑤ リクエストを受信したWebサーバーは、レスポンスをクライアントに送信。
⑥ サーバーからのレスポンスがHTTPSの場合は、A10 Thunderがインターセプトしいったんデコードした後で、再暗号化してクライアントに送信。
*2:各種調査機関のデータをベースにした弊社調べ
Office 365等を快適に利用する
このように、InterSafe WebFilterとA10 Thunderを組み合わせれば、高精度かつハイパフォーマンスなWebフィルタリングが実現するが、この連携にはもうひとつ大きなメリットが期待できる。SaaSの快適な利用である。
最近では、Microsoft Office 365などのSaaS(Software as a Service)を業務で利用する企業が増えているが、その際に課題となるのがパフォーマンスの低下だ。プロキシサーバーを介してOffice365を利用すると、1ユーザーが数十セッションを使うこともあり、プロキシサーバーの負荷が増大。レスポンスが落ちてしまうだけでなく、ネットワーク全体が重くなってしまうことがある。
そんなこともあり、MicrosoftではOffice 365を利用する際にはファイアウォールやプロキシを経由しないネットワーク構成を推奨している。つまり、Office 365を導入する際にはネットワーク構成の見直しが必要となるのだが、既存システムの通信への影響も懸念されることから、二の足を踏む企業も少なくない。
しかしここでInterSafe WebFilterとA10 Thunderを連携させることで、Office 365の通信を他の通信と区別するOffice 365オフロードが可能となる。つまり、A10 Thunderのクラウドプロキシ機能を用いてOffice 365への通信をインターネットに直接つなぎ、それ以外のWebアクセスはInterSafe WebFilterでフィルタリングすることで、SaaSを快適に利用することが可能になるのである(図2参照)。
なお、Office 365の通信は、暗号化などによって高度なセキュリティが担保されているため、InterSafe WebFilterを介さずに迂回させても問題ない。また、Office365のドメインやIPは頻繁に追加・変更されるが、外部サーバーから自動的に取得するため、手動で更新する必要がなく、システム管理者の運用負荷も軽減される。