ブログ

新しい調査で TLS 1.3 の導入を推進し、制限している要因が明らかに

レイチェル・シャーのサムネイル
レイチェル・シャー
2022年11月18日公開

4年前、メーガン・マークルはハリー王子と結婚した。 一方、シアーズは破産を申請し、世界は珍しいスーパーブルーブラッドムーンに恵まれた。 トイザらスも全店舗を閉鎖し、アップルは時価総額1兆ドルに到達した初のアメリカの上場企業となった。

2018 年は、インターネット技術タスクフォース (IETF) によるTLS 1.3の承認年でもあったことを忘れてはなりません。

それ以来、組織は、インターネットのデータセキュリティとプライバシーを実現する最も広く使用されている暗号化プロトコルの最新バージョンであるTLS 1.3 を採用することの利点と課題を評価する十分な時間がありました。

企業がTLS 1.3を導入した理由、あるいはまだ導入していない理由を理解するために、Enterprise Management Associates (EMA) は調査レポート「TLS 1.3 導入4周年: 「実装とネットワーク監視について何を学びましたか?」

F5 が後援する EMA の調査には、テクノロジー サービス、金融、ヘルスケアなどの業界にわたる北米のテクノロジーおよびビジネス リーダーの意見が含まれています。 参加者は、企業が情報セキュリティとコンプライアンスの優先事項をどのように優先しているか、また、データセキュリティとプライバシーに関する規制がセキュリティの優先事項の方向性にどのような影響を与えているかを明らかにします。

報告書から得られた 3 つの結論は次のとおりです。

1.       規制とベンダーの管理、データセキュリティの向上、リモートワークの導入が促進される

データ セキュリティとプライバシーの標準は、過去数年間にわたってビジネスおよびテクノロジーのリーダーにとって最優先事項となってきました。 したがって、調査の参加者が、データ セキュリティとプライバシーの向上を TLS 1.3 実装の主な動機として挙げたのも驚くには当たりません。 実際、調査対象者の 85% が、TLS 1.3 実装の最大のメリットとしてデータ セキュリティを挙げています。

さらに、企業が COVID-19 パンデミックに適応するにつれて、リモートワークへの推進とその持続力、および機密データと企業の知的財産を安全に処理する必要性も、TLS 1.3 の採用に影響を与えました。 図 1 が示すように、回答者の 76% がリモート従業員のビジネス トラフィックに TLS 1.3 を使用しています。

図1: TLS 1.3 を実装している調査対象組織は、リモートで働く従業員のビジネス トラフィックが TLS 1.3 を使用して暗号化されているかどうかを回答しました。

2.       可視性と監視の考慮が最大の障害

HIPAA や EU の一般データ保護規則 (GDPR) などのベンダーおよび規制による制御にもかかわらず、組織は、図 2 に示すように、環境内のセキュリティと監視計画に予想される影響のために、TLS 1.3 の導入を進めるのに苦労しています。 それに加えて、このタイプの統合が困難になる可能性があることは周知の事実です。 そのため、多くの組織は、コミットメントを行う代わりに、移行計画を策定するための時間を稼ぎ、TLS 1.3 よりも実装が簡単で負担が少ない暫定的なソリューションを評価しています。

可視性の喪失は、調査参加者の 96% に一時停止を生じさせます。 結局のところ、TLS 1.3 を実装した回答者の 44% は、トラフィックの可視性が失われたために実装をロールバックせざるを得ず、回答者の 4 分の 1 以上は、プロトコルによるトラフィックの可視性の欠如が原因でセキュリティ侵害を受けた可能性があると考えています。

図2: 調査対象となった組織のうち、TLS 1.3 を実装していない組織は、TLS 1.3 の導入に伴う潜在的な問題を組織に関連して評価しました。

3.       リソースと実装コストは相当な額になる

図 3 に示すように、TLS 1.3 を実装した調査対象の組織の 87% では、統合に対応するために何らかのレベルのインフラストラクチャ変更が必要でした。 ネットワーク トポロジの更新は、多くの人にとって確かに受け入れがたいことです。 それは時間がかかり、コストもかかります。 すでに手一杯のセキュリティ スタッフの人的リソースが限られていること、また競合するビジネス ニーズと比較してビジネス価値が非常に低いと認識されていることを考えると、この規模のプロジェクトを実施するためにリソースを引き出すことは正当化が困難です (81%)。

図3: TLS 1.3 を実装した調査対象の組織は、TLS 1.3 を有効にするためにネットワーク/セキュリティ アーキテクチャの変更が必要かどうかを評価しました。

TLS 1.3 の採用にはさまざまな要因が影響を及ぼし続けるでしょうが、1 つ確かなことは、推奨されるデータ プライバシー プロトコルとしての TLS は今後も存続するということです。

現在、インターネット トラフィックのほぼ90%が暗号化されており、その数は増え続けているため、目に見えないものがあなたを傷つける可能性があります。 サイバー犯罪者は、TLS のバージョンに関係なく、暗号化されたトラフィックを常に利用して悪意のあるペイロードを隠しています。 検査を行わないと、組織は脆弱な状態になります。

EMA レポート全文で、テクノロジ リーダーやビジネス リーダーが TLS 1.3 の実装について何と言っているかを学び、 SSL/TLS 暗号化トラフィック (特に TLS 1.3 で暗号化された受信トラフィックと送信トラフィック) の可視性とオーケストレーションが今日非常に重要である理由を理解してください。