バーテックスリンクは6月7日、SSL通信をゲートウェイで中継することによって外部からのウイルス侵入や内部からの情報漏洩を防止するソフト「SSL-Scanner」など、ゲートウェイ型セキュリティ関連ソフト群「Webwasher」の日本語対応版を発表した。開発は米CyberGuard。価格は据え置きで、出荷は2005年後半を予定する。
Webwasherは、インターネットと社内LANのゲートウェイ上で動作させるゲートウェイ型のセキュリティソフト群である。Webwasherを構成するソフトの概要と、50ユーザー時の価格は以下の通り。URL文字列でアクセスを制御する「URL Filter」が36万7500円。ファイルの種類やコンテンツの中身をもとに転送を禁止する「Content Protection」が43万2000円。ウイルス対策の「Anti Virus」が29万3000円。スパム対策の「Anti Spam」が15万1000円。SSL通信の内容を監視する「SSL-Scanner」が14万9000円。
Webwasherを構成するソフトの1つであるSSL-Scannerの詳細は以下の通りである。SSL-Scannerは、クライアントPC上のウェブブラウザ(SSLクライアント)とインターネット上のWebサーバ(SSLサーバ)などエンド・ツー・エンドでのSSL通信の間を取り持ち、SSL通信の内容をチェックすることで、本来は暗号化されてしまうために防げなかったウイルスの侵入や、社内機密情報の漏洩を防止する。
本来、ウェブブラウザはWebサーバから、Webサーバの公開鍵を含んだサーバ証明書を受け取る。Webサーバの公開鍵は、信頼できる第三者機関の秘密鍵によって署名を受けている。ウェブブラウザは、Webサーバの公開鍵を用いてデータ暗号鍵(の基)を暗号化した後にWebサーバに渡す。Webサーバは自分自身の秘密鍵で復号化することで、ウェブブラウザとの間でデータ暗号鍵を共有する。
SSLの安全性は、電子署名によって成り立っている。サーバ証明書には、サーバの公開鍵とサーバ名が含まれ、米VeriSignなど信頼できる第三者機関が自らの秘密鍵を使って署名を施している。ウェブブラウザは、ウェブブラウザに登録してある第三者機関の公開鍵を用いて署名を検証した後、サーバ名が正しいかどうかを調べる。一般的なウェブブラウザの実装では、信用できる第三者機関の署名がない場合やサーバ名が正しくない場合、アラート(警告)を出す。
ここで、SSL-Scannerの動作メカニズムは、以下の通りである。本来のWebサーバが送信してきたサーバ証明書(公開鍵)をウェブブラウザに渡さず、偽りのサーバ証明書すなわちSSL-Scanner自身のサーバ証明書を渡す。本来のWebサーバから見たSSL通信の相手はSSL-Scannerであり、ウェブブラウザから見たSSL通信の相手もSSL-Scannerである。つまりSSL-Scannerは、SSLプロキシ(代理サーバ)として機能する。
SSL-ScannerはWebサーバに成り代わって自身のサーバ証明書をウェブブラウザに渡しているため、初期状態のウェブブラウザは送られてきたサーバ証明書の不備を発見し、アラートを出す。エンドユーザーは、アラートに対して毎回通信を許可する運用を採るか、またはSSL-Scannerをウェブブラウザに登録することにより、次回からアラートを出さない設定で運用する。
なお、Webwasherの5製品を高さ1Uのラックマウント型Linuxサーバにインストールしたアプライアンス「WW1000」の日本語版も出荷する。従来のWW1000は個々のWebwasherソフト製品同様、英語版に限られていた。
