セクション1
インターネット トラフィックのほぼ 90% が暗号化されており、転送中のほぼすべてのデータが暗号化されるインターネットへと急速に移行しています。 これはプライバシーと機密性の面では優れていますが、セキュリティ面では重大な盲点を生み出します。
フィッシングを通じてインストールされたマルウェアの は暗号化に隠れています。
暗号化されたマルウェア: 隠れた脅威
暗号化を利用することで、攻撃者はほとんどの検査デバイスを回避し、ネットワーク内にマルウェアを送り込むことができます。 さらに、暗号化されたデータの流出は、精査されることなくセキュリティ ツールを回避します。 F5 Labs の脅威調査によると、マルウェアの 71% は、コマンド アンド コントロールの場所と通信する際に暗号化を使用して身を隠しています。 さらに、マルウェア サイトの 57% とフィッシング サイトの 95% は 1 回のみアクセスされており、インシデント対応の調査が複雑になっています。
サイバー犯罪者は、組織がトラフィックの復号化と検査に苦労していることを知っており、それを有利に利用します。 攻撃者は、スパイウェア、ランサムウェア、ルートキットなどのマルウェアやエクスプロイトを使用して、ユーザー、ネットワーク、アプリケーションを侵害し、個人データを盗みます。
Verizon の 2019 年データ侵害調査レポートによると、2018 年の全データ侵害の 28% に何らかのマルウェアが関与していました。 マルウェアは、犯罪組織が金銭的利益を得るために使用されるだけでなく、他国を混乱させたりスパイ活動をしたりするために国家支援団体によって使用されるケースが増えています。
暗号化されたトラフィックの可視性を高めることは、アプリケーションとビジネスを保護するために実行できる最も重要なステップの 1 つです。
この問題は新しいものではありません。 長年にわたり、サイバー セキュリティ業界では、マルウェアや悪意のあるトラフィックを検出またはブロックするための多くのツールを設計してきました。 組織は、ユーザーの行動を監視する次世代ファイアウォール、ゼロデイ攻撃を見つけるサンドボックス、悪意のあるペイロードをブロックする侵入防止システム、データの流出を防ぐデータ損失防止スキャナー、受信トラフィックと送信トラフィックを保護する Web ゲートウェイ サービスなどのテクノロジーを導入しています。
これらのソリューションは長年にわたって進化し、マルウェアがユーザーのシステムに感染したり、企業のネットワークやアプリケーションを侵害したりするのを防ぐのに長けています。 ただし、大規模な暗号化/復号化用に設計されていないため、暗号化されたトラフィックの内容を調べることはできません。 暗号化されたデータの増加により、攻撃者にとってはチャンスが生まれ、ネットワーク管理者にとっては頭痛の種となりました。 さらに悪いことに、多くの検査デバイスは、TLS 1.3 の Perfect Forward Secrecy (PFS) の要件など、急速に変化する暗号化の状況に対応できず、盲点やパフォーマンスの低下が生じます。 アプリ、データ、組織をマルウェアから保護したい場合は、暗号化を無視することはできません。
暗号化を利用することで、攻撃者はほとんどの検査デバイスを回避し、ネットワーク内にマルウェアを送り込み、誰にも知られずにデータを削除することができます。
悪意のある攻撃者は検出を回避するために暗号化を活用しますが、フィッシングは最も一般的な攻撃シナリオの 1 つです。
フィッシングやマルウェアが検知を逃れる仕組み
暗号化されたマルウェアは企業にとって最も深刻な脅威の 1 つであり、経済的損失、評判の失墜、サービスの中断、データ侵害につながる可能性があります。 問題をさらに複雑にしているのは、ユーザーが感染した Web サイトにアクセスしたり、フィッシング メール内の悪意のある添付ファイルをクリックしたりするたびに、悪質なマルウェアに感染する可能性があるという事実です。
マルウェアは、トラフィックを検知されずにすり抜けることができる暗号化を好み、フィッシングは最も一般的な攻撃シナリオの 1 つです。 無料または低コストの HTTPS 証明書プロバイダーにより、攻撃者はマルウェアに侵入し、盗んだ資産を持ち出すことが容易になります。 F5 Labs は、2019 年のアプリケーション保護レポートで、侵害の 21% がフィッシングによるものであることを発見しました。 この短いビデオで、フィッシング マルウェアを使用してそれがどのように起こるかを学びます。
攻撃者は、通常は被害者が気付かないうちに、損害を与えたり、データにアクセスして盗み出すためにマルウェアを開発します。
暗号化された脅威からの防御
アプリ、データ、組織をマルウェアから保護したい場合は、暗号化を無視することはできません。 暗号化されたトラフィックの可視性を高めることは、今日実行できる最も重要なステップの 1 つです。 疑問は残ります。アプリケーションのパフォーマンスを低下させずにこれを実現する最善の方法は何でしょうか? その質問の答えを知るには、この記事を読んでください。
TLS 1.3 は解決策でしょうか?
考慮すべき大きな変化
セクション2
つい最近まで、Secure Sockets Layer (SSL) または Transport Layer Security (TLS) は、政府機関と大規模な金融機関でのみほぼ独占的に使用されていました。 現在、TLS 1.3 は、無数のサイトやアプリケーションを通じて送信されるデータを保護するために、あらゆる種類の組織で使用されています。
。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。
。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。
。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。
現在、Web 上のページ読み込みのほぼ 86% が HTTPS で暗号化されています。
TLS 1.3 の登場
SSL/TLS の導入は、送信されるデータの暗号化を要求する PCI DSS、HIPAA、EU の一般データ保護規則 (GDPR) などの規制基準によって加速されています。 さらに、暗号化されたサイトを優遇する Google 検索結果ポリシーにより、組織は SSL/TLS の採用を促されています。
しかし、SSL/TLS の普及は良いニュースばかりではありません。 攻撃者は、暗号化されたトラフィック内に巧妙な攻撃を隠すことが多くなってきています。つまり、セキュリティ プロトコル自体が脅威の媒介となっているのです。 暗号化されたトラフィックの可視性を回復することは、アプリ、データ、ビジネスを保護するために実行できる最も重要なステップの 1 つです。
TLS 1.3 とは何ですか?
Web クライアント (インターネット ブラウザー) が安全な Web サイトに接続すると、データは暗号化されます。 しかし、それは一体どうやって起こるのでしょうか? どのようなタイプの暗号化が使用され、インターネット ブラウザーは Web サーバーが使用したい暗号化のタイプをどのように認識するのでしょうか。 これらはすべて、TLS 暗号スイートと呼ばれるものによって決定されます。 このビデオでその仕組みをご覧ください。
TLS 1.3 ハンドシェイク
新しい TLS 1.3 プロトコルにより、クライアントとサーバー間のハンドシェイク プロセスが大幅に変更されました。 新しいプロセスははるかに効率的であり、暗号化されたアプリケーション データが以前のバージョンよりもはるかに高速に流れるようになります。 このビデオでは、TLS 1.3 ハンドシェイクとそのすべての優れた新機能について概説します。
TLS 1.3 へのアップグレード
暗号化標準は常に進化しているため、最新のベストプラクティスを常に把握しておくことが重要です。 TLS プロトコルの最新バージョン (バージョン 1.3) が最近、インターネット技術タスクフォース (IETF) によって承認されました。 このプロトコルには、Perfect Forward Secrecy (PFS) をサポートする暗号を使用する必要があることや、セッション再開のためのゼロ ラウンドトリップ時間ハンドシェイクが導入されていることなど、いくつかの重要な変更点があります。 このビデオでは、この新しいプロトコルの重要な機能の多くについて概説します。
企業における TLS の導入
TLS 1.3 は IETF によって承認されており、セキュリティ、パフォーマンス、プライバシーの分野で大きな改善が加えられています。 TLS 1.3 が提供するパフォーマンスの向上は歓迎すべきアップグレードですが、PFS にはセキュリティ上の課題がいくつかあり、復号化と検査がますます困難になっています。
ただし、PFS ではパッシブ検査を実行する機能も削除されるため、悪意のあるトラフィックを検出し、暗号化されたトラフィックに隠れた攻撃を防御することが難しくなります。 TLS 1.3 導入に関する組織の戦略、ポリシー、アプローチの詳細については、「企業における TLS 1.3 の導入」レポートをお読みください。
IT 担当者の 10 人に 1 人が、暗号化に関する最大の懸念はアプリケーションのセキュリティを監視できるかどうかだと回答しました。
暗号化されたパケットの検査
選択肢を知る
セクション3
SSL/TLS トラフィックの増加により、組織は、ネットワークとアプリケーションが広範な暗号化の需要の増加に対応できるようにするソリューションを見つける必要に迫られています。
。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。
。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。
。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。
何もしないことは災難を招く
多くの組織では、既存のセキュリティ スタックを使用して暗号化されたトラフィックに隠されたマルウェアを検出する準備ができていません。 しかし、攻撃者はセキュリティ デバイスが確認できないトラフィック内に悪意のあるコードを隠すことが多くなっているため、何もしないという選択肢は災害を招く原因となります。 また、検査ツールに費やされるお金と、それらを維持するために費やす労力も無駄になります。 表面的には、選択肢はいくつかあるように見えますが、実際に効果的なのはそのうちの 1 つだけです。
01 | すべてを復号化しますか?
ユーザーのプライバシーが話題になる前は、多くの組織が SSL/TLS を入力ポイントで終了し、データセンター内ではすべてがクリアテキストで自由に流れるようにしていました。
GDPR やその他の規制が施行され、プライバシー侵害や不正使用が注目を集めるようになった現在、これはもはや実行可能な選択肢ではありません。 収集するデータの種類とそれに対応する管轄区域に応じて、さまざまなプライバシー法や規制が適用される場合があります。
02 | 復号化ゾーンを設定する
一部のセキュリティ チームは、復号化ゾーン (エア ギャップ) を設定し、そこで受信トラフィックや送信トラフィックを復号化してから、セキュリティ検査ツールのデイジー チェーンに渡して再度暗号化します。
このソリューションは、少なくとも隠れたマルウェアを発見しますが、ルーティングが複雑になり、アーキテクチャの変更が難しくなります。 また、インライン セキュリティ デバイスが故障すると、壊滅的な停止が発生する可能性があります。
03 | オーケストレーション
オーケストレーションが最も効果的な選択肢です。 ポリシーベースの復号化とトラフィック ステアリングを受信トラフィックと送信トラフィックの両方に適用することで、セキュリティ デバイスのオーケストレーションをマエストロのように実行できます。
高性能の SSL/TLS オーケストレーション ソリューションは、セキュリティ スタックのセキュリティ、効率、回復力を高めながら、可視性を向上させ、アプリを保護します。 SSL 復号化と再暗号化の操作は 1 回だけなので、デイジー チェーン アプローチの遅延は自動的に排除されます。
このプロセスは非常に重要であるため、NSA は「トランスポート層セキュリティ検査によるリスクの管理」というタイトルの勧告を公開しました。 この勧告では、リスクを最小限に抑えるために、TLS トラフィックの解読と検査は企業ネットワーク内で 1 回だけ実行する必要があると述べています。 また、このアドバイザリでは、クライアントとサーバーのトラフィック フローが 1 つのフォワード プロキシによって復号化、検査、再暗号化され、その後 2 番目のフォワード プロキシに転送されて同じ処理が繰り返される冗長 TLSI の使用も強く推奨していません。
SSL/TLS トラフィックをオーケストレーションすることで、重要なアプリケーションのパフォーマンスを最適化しながら、セキュリティ ソリューションの効率を最大限に高めることができます。
SSL 可視性で暗号化された脅威を確認
セキュリティ検査ツールは、SSL/TLS トラフィックをますます無視するようになっています。 一部のセキュリティ ソリューションにはネイティブの復号化機能が含まれていますが、大規模な復号化と暗号化の実行は、その主な目的や焦点ではありません。 それがなければ、暗号化されたトラフィックは、セキュリティ スタック全体にわたって、復号化/検査/再暗号化のプロセスを繰り返す静的なデイジー チェーンを通過する必要があります。
このプロセスは貴重な時間とリソースを消費し、遅延を増加させ、ユーザー エクスペリエンスを妨げます。 さらに、過剰サブスクリプションにつながりやすく、過剰なセキュリティ サービスのコストが増加することになります。
F5 SSL Orchestrator は、完全なプロキシ アーキテクチャと動的なサービス チェーンを備えており、環境内のマルウェアに対処する方法に真のパラダイム シフトをもたらします。 SSL 可視性により暗号化された脅威から保護します。
暗号化されたマルウェアを阻止する準備はできていますか?
SSL Orchestrator は SSL/TLS と HTTP の両方の完全なプロキシとして機能するため、インバウンドおよびアウトバウンドの暗号化要件がどれほど複雑であっても、セキュリティ スタック内のサービス チェーンにインバウンドおよびアウトバウンドのトラフィックを誘導するためのインテリジェントな決定を下すことができます。
SSL Orchestrator が暗号化された受信アプリケーション トラフィックをどのように可視化するか、セキュリティ サービスを動的に連鎖させ、コンテキスト ベースのトラフィック ステアリングを適用する方法などについて説明します。
オーケストレーションのメリット
可視性を超えて
セクション4
暗号化されたトラフィックの可視性を高めることが、データを保護する鍵であることがわかりました。 SSL/TLS オーケストレーション ソリューションは、受信トラフィックと送信トラフィックのコスト効率の高い復号化と暗号化を提供し、柔軟なポリシーベースのアプローチでリスクを軽減します。
。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。
。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。
。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。
F5 の SSL Orchestrator は、受信および送信 SSL/TLS トラフィックの高性能な復号化を提供し、セキュリティ検査による脅威の検出、攻撃の阻止、ビジネス リスクの軽減を可能にします。
01 | 暗号化されたトラフィックの可視性
堅牢な SSL/TLS ソリューションにより、復号化と再暗号化、強力な暗号サポート (TLS 1.3 を含む) が得られ、暗号化されたトラフィックで何が起こっているかを確認できます。
02 | 最適な柔軟性
フルプロキシ アーキテクチャを備えたソリューションを使用すると、インフラストラクチャ内のさまざまなセキュリティ検査デバイス、ネットワーク トポロジ、サポートされている暗号をより細かく制御し、より柔軟に使用できるようになります。 また、セキュリティ デバイスを監視して負荷分散し、最高の効率で機能していることを確認することもできます。 障害が発生した場合にデバイスを完全にスキップすることも可能で、これによりネットワークの回復力が向上します。
03 | 効率的で動的なサービスチェーニング
本当の魔法はここにあります。 F5 SSL Orchestrator は、セキュリティ サービスを動的に割り当て、連鎖させ、再利用することができます。 つまり、さまざまな種類のトラフィックをさまざまなセキュリティ デバイス セットに通して、それらのデバイスをさまざまなチェーンで再利用したり、検査を必要としないトラフィックにはまったく使用しなかったりすることができます。 これにより、トラフィックを簡単に分類できるため、特定のユーザーの役割など、さまざまな要素に基づいて、トラフィックを検査デバイスに、または検査デバイスを迂回してインテリジェントにルーティングできます。 セキュリティ サービスを動的に割り当て、連鎖させ、再利用することができます。
動的サービス チェーニングを使用すると、SSL/TLS ソリューションを拡張し、組織を最も効果的に保護できる領域に現在のセキュリティ デバイスを集中させることで、セキュリティ デバイスの使用率を最大化できます。 さらに、ダウンタイムを経験することなく、セキュリティ サービスを追加または削除できます。
04 | パフォーマンスの向上
復号化/再暗号化のプロセスは複数ではなく 1 つだけであり、この目的のために構築された高性能オーケストレーション デバイスによって実行されます。
05 | 集中管理
集中管理を提供する SSL/TLS ソリューションを選択すると、SSL/TLS を使用してネットワーク接続を保護する暗号スイートの選択と更新のプロセスを簡素化できます。 これにより、トラフィック検査セキュリティ ツールのパフォーマンスが向上し、エンドツーエンドの暗号化で使用する暗号をより柔軟に管理できるようになります。 必要に応じて、このソリューションは連邦情報処理標準 (FIPS) に規定されている安全なキー ストレージをサポートできます。
SSL Orchestrator には完全なプロキシ アーキテクチャが備わっており、さまざまなプロトコルや暗号をより細かく制御し、柔軟に操作できます。
現在のインフラストラクチャとの統合とオーケストレーション
SSL Orchestrator は、主要なセキュリティ パートナーと統合することで、既存のアーキテクチャに簡単に適合します。 このソリューションは、セキュリティを強化し、規模と可用性を高め、運用コストを削減するエコシステムを構築します。 SSL Orchestrator は複数の展開モードをサポートしており、複雑なアーキテクチャに簡単に統合して、受信トラフィックと送信トラフィックの両方の復号化を一元化します。
SSL Orchestrator には完全なプロキシ アーキテクチャが備わっており、さまざまなプロトコルや暗号をより細かく制御し、柔軟に操作できます。 また、負荷分散、監視、および障害が発生したデバイスのスキップも可能です。 このアーキテクチャにより、拡張できるだけでなく、既存のセキュリティ投資を適切に使用してインテリジェントに最大化することもできます。
SSL ORCHESTRATOR が現在のインフラストラクチャでどのように機能するかを確認する
F5 SSL Orchestrator は、既存のアーキテクチャや変更中のアーキテクチャと簡単に統合し、SSL/TLS の復号化/暗号化機能を集中管理できるように設計されており、セキュリティ インフラストラクチャ全体にわたって最新の SSL/TLS プロトコル バージョンと暗号化暗号を提供します。
SSL の可視性は始まりに過ぎません。 組織はセキュリティ投資をより適切に管理する必要があり、SSL Orchestrator のメリットが真価を発揮するのはまさにこの点です。
可視性は不可欠ですが、SSL ORCHESTRATORはそれ以上の機能を提供します
F5 SSL Orchestrator を環境に追加すると、暗号化されたトラフィックを復号化し、セキュリティ制御によって検査してから、再暗号化できるようになります。 その結果、セキュリティ検査テクノロジーへの投資を最大限に活用して、悪用、コールバック、データ流出などのインバウンドおよびアウトバウンドの脅威を防止できるようになり、サイバーレジリエンス戦略も強化されます。 セキュリティ チェーン全体にわたってすべての暗号化トラフィックのフローを管理する利点について詳しくは、この記事をお読みください。
顧客事例: メディカルデータビジョンカンパニー
「当社は臨床データを扱っていますので、セキュリティはビジネスシステムの根幹であり、その維持に重点を置く必要があります。 標的型サイバー攻撃の脅威はますます増大しており、私たちは常に一歩先を行く必要があります。」
渡辺幸弘
メディカルデータビジョン株式会社 さくらDB事業部 部長 シニアマネージャー
SSL/TLS トラフィックの増加は、組織が顧客データの保護と、GDPR などの暗号化に関連するコンプライアンス要件の遵守にさらに重点を置いていることを示しています。
セキュリティ検査デバイスがアプリ、ユーザー、ネットワークを保護できるようにするには、可視性を超えて暗号化されたトラフィックの検査を調整することが重要です。 強力な SSL/TLS オーケストレーション ソリューションを使用すると、可視性が向上し、パフォーマンスと柔軟性が向上します。そのため、隠れたマルウェアやアプリケーションのエクスプロイトについて心配する必要がなくなり、ビジネスを推進する新しいアプリの開発とサポートに集中できます。
F5のセキュリティ専門家にご相談ください
セキュリティに関する質問、問題、または他に話し合いたいことはありますか? ご意見をお待ちしております!
1営業日以内に必ずメールでご連絡いたします。