「常時SSL化」がもたらす新たな課題

WEBトラフィックの「常時SSL化」は、当初の予想を大幅に上回る速さで浸透しました。SSLトラフィックの比率はわずか2年のうちに急上昇し、すでにインターネットトラフィックの90%近くに達しています。経路上でのパケット秘匿性、アクセス先サイトの正統性の担保は、セキュリティ向上に非常に有効です。しかしながら、IT運用管理の面からは、新たな課題ももたらしています。

Chrome で HTTPS 経由で読み込まれたページの割合(プラットフォーム別)

出典:ウェブ上での HTTPS 暗号化(https://transparencyreport.google.com/https/overview

■見えない脅威

ファイアウォールやIPSといったセキュリティ・アプライアンスの一部では、SSLトラフィックに対してその機能が十分に発揮できるとは言えないものがあります。SSL/TLSの通信では、サーバとクライアントの間で鍵交換を行った後は、原則としてパケットの上位データは暗号化された状態で送受信されるため、経路上のセキュリティシステムは、そのままではTCPレベルの通信としてしか捉えることができないことになります。ウィルスやマルウェアなどの振舞いも、暗号化により見えない状態となってしまい、これは「新たな脅威」と言えるでしょう。

■既存システムへの過負荷

一方で、SSLトラフィックの復号化/再暗号化に対応したセキュリティ・アプライアンスも存在しますが、そういったケースでも、SSL処理の追加は大きな負荷をもたらします。上位レンジのモデルへのリプレースが難しい場合、御社の既存システムはどこまで耐えられるでしょうか?システムの性能劣化はビジネス効率にも影響します。セキュリティの代償としては、あまりにも大きいと言えます。

また、複数のセキュリティデバイスでチェーン構成を組んでいる場合など、各デバイスでSSLをデコード⇒再コードすることは、コスト、効率、レスポンスのすべての点で得策ではありません。

さらに…今後もSSLトラフィックを取り巻く状況は常に、しかも迅速に変化して行きます。
  • SaaSやクラウドの普及は社内からWANに出るトラフィックの増加を招き、それらはSSL暗号化が必須
  • 間もなくインターネットトラフィックはほぼ100%がSSLとなる
  • SSLの方式も、従来のRSAからECC(楕円曲線暗号化)へと急速に移行している
SSLトラフィックに対し、従来通りのセキュリティポリシーを適用するには、何らかの対策が必要です。