ソフォスは3月25日、プレス向けの技術説明会をオンラインで開催した。グローバルで実施されたセキュリティ調査の結果を踏まえ、シニアセールスエンジニアの鈴木貴彦氏が2月18日にリリースされた「XG Firewall」の最新版について機能を説明した。
今回紹介されたセキュリティ調査は、英調査会社のVanson Bourneが2018年12月から2019年1月の間に、12カ国のIT意志決定者3100人にインタビューを行った結果をまとめたもの。組織規模として従業員数100~1000人の企業と1001~5000人の企業が1550社ずつになるように対象企業が選ばれている。対象国は、米国、英国、フランス、ドイツ、インド、カナダ、ブラジル、コロンビア、メキシコ、オーストラリア、日本、南アフリカ。なお、調査結果の詳細は「次世代型ファイアウォールの弱点」というタイトルのホワイトペーパーとしてまとめられ、1月に同社のウェブサイトで公開(PDFファイル)されている。
調査対象企業のうち、サイバー攻撃を経験した企業は68%で、そのうちの91%は「攻撃を受けたときに、最新のセキュリティ機能を実行していた」という。つまり、油断して防御していなかった企業が攻撃被害を受けたということではなく、防御策を講じていたにもかかわらずそれを突破された形になっている。その理由の1つとなっているのがSSL/TSLによる暗号化トラフィックがサイバー攻撃者によって悪用されていることに対する認知がまだ低いせいだという。
この認知の低さを示すデータとして、実際に企業/組織が受信しているトラフィックのうち、暗号化されているトラフィックがどのくらいあるかを訊ねたところ、平均して約52%という回答が得られた一方、実際の暗号化トラフィック量は既に全トラフィックの80%以上に達しており、IT意志決定者でも暗号化トラフィックが急増している現状を正確に把握していないことが明らかだという。
こうした状況を踏まえて鈴木氏は「暗号化されたトラフィックは“安全である”ことを意味しない」と強調した。暗号化されたトラフィックは内容を盗み見られることがないという意味では「安全」だが、外部から届いた暗号化されたトラフィックをそのまま受信しても問題ないかどうかは「別問題」ということだ。
既存のウェブサイトを不正に書き換えるような手法や、信頼性の低い認証サーバーを利用するなどの手法により、サイバー攻撃者がサーバー証明書を入手してSSL/TSLなどの暗号化トラフィックを利用できる状態を作り、こうした通信経路を通じてマルウェアを送り込んだりする攻撃が年々増えているが、こうした脅威に対抗するためには、現状暗号化されたままで検知する技術はないため、一度復号してセキュリティチェックを実施する、以外の有効な対策はない。
同社が推奨するのは、暗号化されたトラフィックのセキュリティチェックが実行できるファイアウォールを導入することだ。適切な選定のためのチェックポイントとして同社が指摘したのは、「最新のTLS 1.3および暗号スイートのサポート」「プロキシーではなくストリーミングエンジン」「堅牢な証明書認証」「強力で柔軟なポリシーツール」「ハイパフォーマンス」の5点だ。
暗号化されたトラフィックのセキュリティチェックではプロキシー型のアプローチが以前から実装されており、トラフィックをいったんファイアウォールで終端して復号/セキュリティチェックを行うことができていたが、このアプローチではパフォーマンス問題が生じたり、チェックすべきトラフィックとそうでないトラフィックを見分けるためのポリシー管理が困難だったり、といった問題があったこともあり、「調査のために全てのトラフィックを復号している組織」の割合は、全12カ国の平均で3.5%にとどまっている(最大はドイツの6.7%、最小はインドの0.3%、日本は4.5%となっている)。
こうした課題に対応する形で同社が2月18日にリリースした「XG Firewall Ver.18」ではストリーミングエンジンによる暗号化トラフィックのチェックを行う「Xstream SSLインスペクション」機能を実装している。今後、ファイアウォールによるセキュリティ強化を考える際には、少なくともストリーミングエンジンによる暗号化トラフィックのチェック機能について評価する必要があることは間違いないだろう。
