他社製セキュリティ機器と連携 SSL通信の抜け道を防ぐ
こうしたSSL通信を悪用したサイバー攻撃に対する有効策は何か。それに対しA10ネットワークスが提案するのが、「A10 ThunderTM ADC」に搭載されている、SSL通信の復号と再暗号化を行う機能「SSLインサイト」だ。
Thunder ADCはSSLで暗号化された通信をいったん復号して可視化し、各種セキュリティ機器を使ってチェックできるようにする。分析・スクラブを経た通信は再び暗号化され、通常のSSL通信として処理される。以下の構成図のように、クライアント側とルーター側にThunder ADCを設置し、その間で各種セキュリティ機器によりSSL通信を検査して高度な脅威を検知するかたちだ。Thunder ADCは、1台の筐体内で各種機能を仮想的なパーティションで分割して管理できる仮想化機能「Application Delivery Partition (ADP)」を有する。この仮想化機能を使ってクライアント側パーティションと回線側パーティションを分け、それぞれが復号と再暗号化の処理を担当させ、あたかも2台のThunder ADCで各種セキュリティ機器を挟み込むような構成をとることができる。
SSLインサイトを利用した標的型攻撃への対策
ポイント:
- 従来のセキュリティ装置では、暗号化トラフィック(SSL通信)の検査ができないか、性能が劣化する可能性がある
- A10 Thunder ADCのSSLインサイト機能を使用することにより、高いパフォーマンスを維持したまま、暗号化された通信を検査可能
メリット:
- 専用ハードウェアによる高速処理
- 様々なセキュリティ製品と連携可能(他社製UTM、URLフィルタリング、プロキシ等)
- 情報漏えい対策が可能
- 「仮想化機能」により、一筐体でも実現できる
出典:A10ネットワークス
熊村氏は、SSLインサイトを利用するメリットについて「従来のセキュリティ機器は暗号化トラフィックを高速に解読するようには設計されていないため、重要なビジネスアプリケーションのパフォーマンスが劣化するケースがありました。当社のSSLインサイトを利用すると、暗号化された通信を高速で検査可能になります」と説明する。
アナリストによると、防御システムを回避するために暗号化が使用される割合は、2017年までに50%にまで達すると予測されている。だが、現状では、ファイアウォール、IPS、UTMなどのセキュリティ機器で復号化しながらの検査を行っていない組織の割合は80%超に達するなど、ほとんど対応ができていない状況だ。
また、別の調査によると、セキュリティ機器とSSL処理負荷について、SSL通信を有効化したり、2048bit鍵長のSSL証明書を使用したりした場合、パフォーマンスが劣化することが確認されている。2048bit鍵長の証明書を使ったSSL通信の性能減衰率は、平均して81%になるという。
SSLインサイトは、標的型攻撃をはじめとしたSSLを悪用するさまざまなサイバー攻撃への有効な対策を提供する。大きなポイントは「SSLの処理に最適化した専用のハードウェアで高速にSSL通信を処理できること。サンドボックス、URLフィルタリング、プロキシ、次世代ファイアウォール、UTMなど、さまざま他社製セキュリティ製品と連携できること」(熊村氏)だ。
たとえば、サンドボックス機能で知られる次世代ファイアウォールとの連携がある。次世代ファイアウォールは、シグネチャを利用した検知をすり抜ける新種のマルウェアなどをサンドボックス内で実際に実行し、その挙動を見て脅威を判定するものだ。高い検出率を誇るが、SSL通信をサポートしないため、暗号技術を逆手にとった攻撃には対応できなかった。そこで、SSLインサイトと連携することで、その高い検出率を最大限に生かすわけだ。