76
導入事例

 様に導入

  • クラウド
  • 効率化
  • 最適化

Blue Coat ユーザ事例 - 株式会社ジュピターテレコム様

 様に導入

Blue Coat Systems
ブルーコートシステムズ
こちらの製品に関するお問い合わせはこちらから
資料請求 お問い合わせ
MENU

Blue Coat Systems

ブルーコートシステムズ

株式会社ジュピターテレコム様

株式会社ジュピターテレコム様

PDFダウンロードはこちら(636KB/2P)

Macnica Networks DAY 2015 講演レポート

渡辺慎太郎 氏

SSL通信が危ない!
標準化が進むSSL通信に潜む脅威とリスクとは? ~SSLは本当に”セキュア”なのか~

株式会社ジュピターテレコム(J:COM)
サイバーセキュリティ推進部
渡辺慎太郎 氏

2015年7月8日に、東京・品川でマクニカネットワークス株式会社主催の「Macnica Networks DAY 2015」が開催されました。例年サイバーセキュリティにフォーカスをあて、複雑化・高度化するサイバー攻撃から日本企業を守るため、最新の攻撃手法をはじめ、先進のセキュリティ技術などさまざまなセッションを披露してきたこのイベントは今年で10回目を迎え、多くのお客様にご来場いただき、盛況のうちに閉幕しました。

今回は「SSL通信」カテゴリで行われた「SSL通信が危ない!標準化が進むSSL通信に潜む脅威とリスクとは?~SSLは本当に“セキュア”なのか~」の講演内容をダイジェストでご紹介します。

全てのWebページを暗号化する常時SSLでセキュリティを強化

SSL(Secure Sockets Layer)/ TLS(Transport Layer Security)(※以下、「SSL」)は、インターネットなどのTCP / IPネットワークにおいてデータを暗号化して送受信するためのプロトコルの一種だ。データを送受信する際に、公開鍵証明書による通信相手の認証、共通鍵暗号(秘密鍵暗号)による通信内容の暗号化、改ざんの検出などを行うことで、HTTPと組み合わせて(https://)Webサイトの認証情報や個人情報、決済情報などの送受信を安全に行うことを目的としている。

SSLに対応したHTTPS通信は実にさまざまなアクセスで利用されており、日本でもお馴染みのgoogle.co.jpやamazon.co.jp、youtube.com、Facebook.com、Twitter.comなどは全てHTTPS対応しているなど、全体の約6割はSSLを活用している。海外ではさらに多く、8割以上は対応しているといわれる。

Always-On SSL(常時SSL)対応も進んでいる。常時SSL とは、Webサイトのトップ画面からHTTPSを使用して、ログインページのみならずサイト全体の暗号化を行い、ユーザが訪問する全てのWebページを守るセキュリティ対策のことで、Webサイトが本物であることを認証し、Web サイトとユーザが共有する情報をすべて暗号化することにより、データの不正閲覧、改ざん、不正使用を防止する。最近はWi-Fi対応やURLの動的なスクリプトを含むcookie(セッションID)などの保護、Webページ自体の信頼性のアピールなどの目的で、常時SSLによってセキュリティを強化することが多くなった。

また、Electronic Frontier Foundation(EFF)やMozilla、Cisco Systems、Akamai Technologiesなどが参加する公益法人が運営する「Let's Encrypt」というプロジェクトでは、ドメイン所有者のSSLサーバ証明書を無償で配付し、SSL化を推奨する取り組みを行っているほか、GoogleがSSL対応のWebサイトを検索順位の上位に優先的に表示するSEOを重視する方針を進めるなど、今後はさらにSSL対応へのニーズが増えると見られている。

攻撃者は通信をSSL化することで攻撃そのものを発見されにくくする

ただその一方で、SSL通信の安全神話が揺らいでいる。標的型攻撃における遠隔操作の28%はSSL通信というデータもあるほか、一部のマルウェアでは遠隔操作や目的実行(データの外部転送)などの挙動でSSL通信を使用するなど、SSL通信を使用した攻撃が増えているケースも少なくない。

検知デバイスのパフォーマンスなどが懸念事項となり、SSL通信のセキュリティ対策が課題となっている。とはいえ、SSLに対応する/しないという観点でリスクを論じるよりも、SSL通信を行っている場合にどんなリスクが内在し、それを検知し対策するためには何が必要かを正しく理解することが重要なのである。

では、実際に攻撃者はどのような手法でSSLを利用するのだろうか。標的型攻撃を段階的に進めるサイバーキルチェーンという考え方では、偵察→武器化→マルウェアの配送→エクスプロイト→インストール→遠隔操作→侵入拡大→目的実行というプロセスで進むが、その中でマルウェアの配送や遠隔操作、侵入拡大、目的実行などでSSL通信を使った攻撃が行われる。そのどこかで可視化や検知をすれば攻撃を遮断することが可能になる。
しかし、攻撃者は各段階の通信をSSL化することで攻撃そのものを発見されにくくするなど、本来のSSLのメリットを逆手に取るため可視化や検知は難しい。既存のファイアウォールやIPS、プロキシサーバでSSLを検知する取り組みは行っているものの、運用を誤るとパフォーマンスの低下や思わぬトラブルを招きかねない。

社内LAN環境でSSL通信を復号する目的は検知と原因分析

そこでひとつの参考事例として、株式会社ジュピターテレコム様(以下、J:COM)が自社のOA系ネットワーク管理の観点からSSL通信の課題と対策について講演した内容を紹介したい。
同社は国内最大のケーブルテレビ会社として、札幌から福岡まで全国5大都市圏で約494万世帯に、ケーブルテレビ・高速インターネット接続・固定電話サービスを提供するとともに、17の専門チャンネルに出資および運営を行い、総合的なメディア事業も展開している。

社内LANの中には約1万4000台のPCが接続されており、セキュリティの推進体制が明確化されている。法務部は文書規程を担当し、どのような情報を重要と見なすか、何を優先的に守るべきかを判断する。リスクマネジメント部は情報セキュリティ管理に関する基本規程を担当。守るべき情報を確定した段階で、組織運営や紙の管理を含めた大きな枠組を決める。ただしITに関する内容は技術的知見を必要とするため、会長・社長直属の専門組織としてサイバーセキュリティ推進室を2015年4月に新設した。

その経緯について、ジュピターテレコム サイバーセキュリティ推進部の渡辺 慎太郎氏は次のように説明する。「従来は、この部分を情報システム部門(以下、情シス)が担っていました。しかし当社の場合、ITシステムを持っているのは情シスだけではなく、商用設備を持つ技術部門や各事業部門、またグループ会社も独自にシステムを持っています。情シスは他部署のセキュリティ予算に意見する立場にないため、グループ全体における対策水準の最適化とインシデントレスポンス体制の効率化を目的に組織を設立しました。」

社内LAN環境でSSL通信をなぜ復号するか。その目的は大きく分けて2つあると渡辺氏は言う。1つは検知すること。IDS/IPSや次世代ファイアウォールの脅威分析機能、サンドボックス製品の能力を発揮させるために、URLや通信内容を復号する必要がある。
もう1つは原因分析を行うこと。J:COMではマクニカネットワークスからBlue Coatのネットワークフォレンジック製品を導入し、社内LANによるインターネット通信の全パケットを保管している。そのため暗号化通信を復号する必要があったという。

情報セキュリティ上の困難は従来よりも監視対象と頻度が増大したことにある

渡辺慎太郎 氏

ここで渡辺氏は、参考情報として証跡の分類と目的について紹介した。

ここ数年の情報セキュリティ上の困難は、従来型よりも監視対象と頻度が増大したことにあるという渡辺氏。「1つの要因は標的型攻撃で、インターネット境界だけではなく内部ネットワークも監視しなければならなくなったこと。もう1つの要因は内部不正で、従来はマネジメントプロセスの事後的なチェックでよかった証跡管理からリアルタイムな不正検知に転換しなくてはならなくなったこと。この2つを同時に達成するのは大変な労力です。」

社内LANのインターネット境界には次世代ファイアウォールが配置されている。その内側にSSL復号装置が置かれており、Blue Coatのネットワークフォレンジック装置にトラフィックが流れる仕組みだ。

具体的には、SSL復号装置がサーバの証明書を復号装置の証明書に置き換えた上でクライアントに渡すことで、コモンネームはサーバと同じではあるが認証局(CA)が復号装置である証明書をクライアントが受け取る。クライアント側で警告が発生しないよう復号装置のCAを信頼するようActive Directoryのグループポリシーで設定しているという。

SSL復号のタスクを分離して専用機に任せるだけの価値はあった

専用のSSL復号装置を導入するメリットについて、渡辺氏は3つ挙げた。第1に性能面。暗号化や復号処理はCPUリソースを消費する一方、1024bit、2048bit、4096bitと鍵の長さが長くなるなど、暗号は複雑さを増している。次世代ファイアウォールでもSSL通信を復号化したものの、性能の劣化が避けられないという。

第2に機能面。そして第3が保守面。これらの理由は共通している。続々と新しい暗号化方式が登場するため、その対応でSSL復号装置は通常のネットワーク機器よりも更新頻度が高くなる。仮に専用装置ではない場合は、ファームウェアをバージョンアップしない限り新方式に対応できないことがあるという。

「例えば、サーバ証明書のハッシュアルゴリズムのためだけに機器をバージョンアップするのは、安定性を重んずるシステム管理者として避けたいのではないでしょうか」と渡辺氏は指摘する。また、監視サービスなどを外部のベンダーに委託している場合は、新バージョンにすぐには対応できないケースもあるという。
「もともとSSL復号装置はネットワークフォレンジックのおまけという認識でしたが、思いがけない結果でした。」

また、渡辺氏は注意点として、「復号したパケットを取得する場合、技術的に可能だからといって何でもかんでも復号すべきではありません。情シスだけで復号の是非を判断せず、セキュリティ委員会や法務・総務・人事などを交えた意思決定のプロセスを確立するようにすべきでしょう。また、社内の規則の中で、従業員に対して通信が監視されている旨を明記し、それを周知することが必要です。それにより、従業員の軽率な不正を抑止する効果が期待できます」とアドバイスする。

SSL復号装置導入の懸念を払拭するBlue CoatのSSL復号化アプライアンス

一般的に、SSL復号装置の活用例としては、1)アウトバウンドの通信の際に社内のインフラでマルウェアを検知し、フォレンジック実施時にSSL通信を復号する方法。2)外部からの通信をインバウンドで不正アクセス検知時にSSL通信を復号し、そのデータをIPSやIDSなどの検知デバイスに受け渡しする方法などがある。
しかし、専用のSSL復号装置を導入する場合、ネットワークの構成を変更する必要があるか、復号できないSSL通信があるのではないか、全てのSSL通信を復号してしまうのではないかといった懸念を持つ企業もある。 その問題を解決するのが、マクニカネットワークスが提供するBlue Coat社のSSL復号化アプライアンス「Blue Coat SSL Visibility Appliance」だ。ネットワーク構成を変更する必要はなく透過型での動作が可能で、豊富なcipher suites(通信で利用する暗号群)対応数をサポートするため、ほぼ全ての暗号の復号を可能にしている。また、URLカテゴリ別に復号する・しないを設定ができるのでセキュリティ面も担保される。
現在、各種サイトのSSL化は加速しており、それを可視化するとともにセキュリティ対策を考えることが重要になっている。標的型攻撃の過程においてSSL通信を使用するケースが増える中で、ファイアウォールやIPS / IDSなど既存のセキュリティデバイスにてSSL通信を復号するのも課題がある。SSL通信の復号は手段であって最終的な目的ではなく、既存デバイスとの親和性も考えた場合、Blue Coatの専用SSL復号機はきっと有効な解決策となるはずだ。

User Profile

株式会社ジュピターテレコム様
所在地 〒100-0005 東京都千代田区丸の内1-8-1 丸の内トラストタワーN館
URL http://www.jcom.co.jp/corporate/
概要 国内最大のケーブルテレビ会社として、札幌から福岡まで全国5大都市圏で約494万世帯に、ケーブルテレビ・高速インターネット接続・固定電話サービスを提供するとともに、17の専門チャンネルに出資および運営を行い、総合的なメディア事業も展開している。

コメント