SSL暗号化は、ネットワークセキュリティにおいて常に論争の的となってきたと言ってもいいでしょう。
プライバシー擁護派は、ウェブメールなどのSSL暗号化パケットの検閲は、いくつかの点でエンドユーザーの信頼を侵害すると主張しています。逆に、ITセキュリティの観点からは、SSL暗号化はマルウェアに対抗するためにSSLを使用するので罪であると言う人もいます。では、SSL復号化とは一体何なのでしょうか?
エンドユーザーがネットワークを介してSSL暗号化対応ウェブサーバーにアクセスすると、エンドユーザーデバイスはHTTP GETメッセージを送信し、サーバーは権威ある組織が発行した証明書によって署名されたページを返します。
Webサーバーの公開鍵証明書がエンドユーザーデバイスに提出され、エンドユーザーはこのセッション公開鍵を使用してセッションを暗号化します。セッションが確立されると、エンドユーザーと Web サーバーは安全に通信できます。SSL暗号化では、デバイスはエンドユーザーとSSL対応ウェブサーバーの間に置かれます。SSL暗号化デバイスは基本的にウェブサーバーの予想される動作を模倣し、エンドユーザーが実際のウェブサーバーではなく、デバイスと通信できるようにします。SSL暗号化デバイスは、エンドユーザーとターゲットのウェブサーバー間のすべての通信を読み取ります。
明らかなのは、このようなネットワークではエンドユーザーはプライバシーを一切持たず、すべてのSSLトラフィックが隠蔽されることなく監視されるということです。このようなやり方は一見卑劣に見えますが、SSL暗号化が企業で使用され、実装される正当な理由があります。第一の理由は、企業ネットワークから専有情報や機密情報が盗まれるのを防ぎ、保護するためです。しかし、NSS Lab, Inc.の調査によると、SSL暗号化を導入する主な理由は、SSL暗号化マルウェアの存在であると報告しています。
暗号化マルウェアは、すべてのデータセンター管理者が真剣に取り組む必要があるものです。暗号化されていないマルウェアを使用した攻撃は蔓延していますが、暗号化するかしないかは攻撃者次第であり、SSL暗号化が導入されていない場合、データセンター内のSSLトラフィックの送受信を何もせずにいると、SSL暗号化されたマルウェアのトラフィックが横行する可能性があります。
NSS Labによると、SSL暗号化トラフィックは、企業ネットワークのイグレス・トラフィックの25~35%を占めています。この数字が正確であれば、データセンターの管理者は、SSL暗号化ができないために、レイヤ3のトラフィック全体を管理できない可能性があります。
さらに、NIST Special Publication 800-5によると、標準のデフォルト暗号は今年末までに2048ビットに変更されます。新しい標準は、ネットワークのオーバーヘッドが大幅に増加し、SSL暗号化のソリューションが調整されることを意味します。
上記の情報をセキュリティの考慮事項に加味した場合、データセンターはセキュリティプログラムの一環としてSSL暗号化を導入する必要があるのでしょうか。その答えは、組織のニーズによって異なります。
NSS Labのレポートは、主に企業内のイントラネットにおけるSSL対応Webサーバへのエンドユーザのアクセスに焦点を当てています。これは典型的な企業ネットワークであり、エンドユーザーの利用状況は組織によって異なります。
また、NSS Labsは、SSL暗号化を使用しているマルウェアはわずか1%程度であり、データセンターでのSSL暗号化は、財務コストやパフォーマンスコストの面で投資に見合わないと述べています。
SSL暗号化はデータセンターそのものを保護するのではなく、企業内のデータセンターとの間でエンドユーザーのトラフィックを監視できるSSL暗号化デバイスでデータセンターを保護するものです。ある観点からは、データセンターの管理者は、暗号化デバイスがどこかに保管され、使用する必要があるときに適用されることを保証することができます。また、データセンターは、SSLを悪用する悪意のある攻撃に対してより賢明な対処方法を持つ必要があり、SSL暗号化アプリケーションのベストプラクティスを見つける必要があります。
