暗号化された脅威の緩和と安全な暗号化の確保

世界中のほぼすべての組織がデジタル トランスフォーメーションに向けて動き出しています。この変革を推し進めているのが、ユーザー データ、顧客データ、患者データ、企業データなどの機密データを収集して送信する必要性です。つまり、今日の私たちの生活はデータを中心に回っているのです。したがって、データの機密性と安全性を維持することが不可欠です。

アプリケーションはデータへと続く入口です。そのため、アプリケーションがどこにあるかにかかわらず、アプリケーションの安全を確保することは、業界を問わず組織のセキュリティとさらにはそのビジネスにとって非常に重要です。

機密データのセキュリティとプライバシーは非常に重要であるため、組織内でデータ セキュリティとプライバシーを確保するための新しい規則や規制が行政機関により作られています。そして、このような規則は、組織や収集されたデータが統治機関の境界内にあるかどうかに関係なく適用されます。

欧州連合（EU）の一般データ保護規則（GDPR）では、EU内で活動する組織に対して、個人データを個人の事前承認を得た上で合法的に収集し、これを保護することを義務付けています。米国では、新しいカリフォルニア州消費者保護法（CCPA）はGDPRの保護対策の多くを反映しており、他の州でも消費者プライバシー保護法のモデルとして評価されています。

これらの規則や規制の目的は、透明性を高め、顧客がそれぞれの個人データと収集後の取り扱いをより管理できるようにすることにあります。組織がセキュリティ侵害を被り、機密データが紛失や盗難に遭った場合や不正使用または悪用された場合、セキュリティ侵害を受けた組織には多額の罰金が科せられる可能性があります。

暗号化は、少なくとも機密情報を保護するためのベスト プラクティスであると考えられています。実際、暗号化を使用してデータを保護しなかった場合は過失と見なされます。しかし、暗号化には2つの側面があります。

データのセキュリティとプライバシーを確保する方法はいくつかありますが、最良の方法が暗号化です。

今日のほとんどのトラフィックは暗号化されています。ほぼすべてのWebサイトで暗号化が使用されています。Microsoft Office 365やGoogle G Suiteなどのオンライン生産性アプリケーションや、クラウドベースのアプリケーション、Software-as-a-Service（SaaS）アプリケーション、ソーシャル ネットワークなどが急速に成長し、続々と採用されていることで、暗号化されたトラフィックはますます増大しています。

データの暗号化は、そのプライバシーと完全性を確保し、維持するために優れた方法です。

ただし、暗号化には危険な欠点があります。攻撃者は、暗号化されたトラフィックが、疑いを持たないユーザーや組織にマルウェアやその他の悪意のあるペイロードを送り込むにも、ユーザーや組織から盗んだデータを引き出すにも優れた方法であることに気付いています。

暗号化されたトラフィックに潜む脅威に対抗するためには、少なくとも、暗号化されたトラフィックの受信と送信の両方を組織が可視化する必要があります。暗号化された受信トラフィックを可視化して検査することで、セキュリティの死角を減らすことができます。また、暗号化されたトラフィックに隠されたマルウェアのリスクや、機密データの侵害につながる脆弱性も緩和されます。

盗まれたデータがトラフィックに隠されて引き出される可能性があるため、暗号化された送信トラフィックの可視化も重要です。また、ネットワークやクラウド環境内のコマンドアンドコントロール（CnC）サーバーに既に侵入しているマルウェアによって開始された通信も隠される可能性があり、このサーバーを介して攻撃を開始することや、既存の悪意のあるソフトウェアをダウンロードして多層マルチスレッド攻撃を展開しようとすることも考えられます。

また、攻撃者はさらにマルウェアをダウンロードして組織内の部署間を水平に移動したり、元の組織から出て顧客やサプライ チェーンを攻撃し、より多くのデバイスやサーバーに感染して、多くの情報やデータを盗むことも考えられます。

SSLの可視化はあくまでも出発点です。組織は暗号化されたトラフィックと復号されたトラフィックの両方をより適切に管理する必要がありますが、セキュリティ ソリューションの機能を犠牲にすることは許されません。

多くの組織がセキュリティ ソリューションに多額の投資を行って高価な機能を選んでいます。それらは、マルウェアの検出、サンドボックス化、アプリケーションやWebプロパティの拒否リスト登録など、さまざまな特定の機能を実行するものです。セキュリティ ソリューションの中には、ネイティブの復号機能を搭載しているものもありますが、復号と暗号化を主要な目的にしたものでも、それに特化したものでもありません。

ほとんどの企業で、大規模な復号を行うように設計された専用のソリューションがない場合にSSLを可視化するには、セキュリティ サービスをつなぎ合わせてその端から端まで暗号化されたトラフィックを通過させる必要があります。本質的には、セキュリティ スタック全体で復号/検査/再暗号化を繰り返す冗長なプロセスで構成される静的なデイジー チェーンを通過させることになります。

このプロセスは非効率的なだけでなく、貴重な時間とリソースも消費します。また、レイテンシも発生させ、ユーザー エクスペリエンスに影響を与えかねません。さらに、暗号化されたトラフィックの総容量に対処するため、デイジー チェーン接続された各セキュリティ デバイスを一様に拡張する必要があるでしょう。これは簡単に過剰なサブスクリプションを招き、セキュリティ サービスのコストの増大につながります。

F5® SSL Orchestrator®は、暗号化されたトラフィックを復号し、適切なセキュリティ コントロールを使用して検査した後、再暗号化することで、暗号化されたトラフィックを可視化し、隠されている脅威のリスクを緩和します。

SSL Orchestratorは、SSL/TLSインフラストラクチャの強化に特化したもので、既存のセキュリティ投資の効果を最大限に高めます。セキュリティ サービスのチェーンを動的に構築し、ポリシーを介して復号されたトラフィックを誘導して、暗号化されたトラフィックにコンテキストベースのインテリジェンスを適用します。

SSL Orchestratorは、セキュリティ インフラストラクチャ全体にわたり最新の暗号化技術を一元的に管理し、割り当てます。また、堅牢な暗号管理と制御を行いながら、証明書とキーの管理を一元化します。

さらに、次世代の暗号化プロトコルを一元的に検査するための単一のプラットフォームも提供します。SSL Orchestratorでは、F5のロード バランシング機能とスケーリング機能により、セキュリティ ソリューションを最大限の効率で稼働させ、高可用性を維持して拡張することができます。また、各セキュリティ サービスの稼働状況を独立して監視します。

SSL Orchestratorは、あらゆる暗号化を担う拠点として、その環境が物理的か仮想的かにかかわらず、セキュリティとプライバシーの最も厳しく堅牢な政府基準と業界標準を満たしていることを保証します。

SSLを可視化するには、堅牢なキー管理（PKI）インフラストラクチャが不可欠です。キーの管理と保護と、それらの適切な使用は、多くの場合、連邦情報処理規格140.2（FIPS 140-2）、コモン クライテリア、国際標準化機構（ISO）の標準、その他の地域や垂直的な認定などの規制要件に関連しています。

FIPS 140-2は、米国国立標準技術研究所（NIST）の標準ですが、世界中の規制の厳しい多くの市場に影響を与え、適用されており、暗号の使用と実装検証のためのガイダンスを提供しています。

FIPS 140-2には、規制、リスク、およびデータの機密性に対応したいくつかのレベルがあります。SSLの可視化の導入において、FIPS 140-2レベル3では、多くの場合、ハードウェア セキュリティ モジュール（HSM）と呼ばれる耐タンパー性を備えたハードウェアの物理的な筐体内に署名キーを保護することが求められます。HSMには、キーのゼロ化、起動時の完全性チェック、不正なキーの抽出を防止するための制御が含まれます。HSMは、キーのセキュリティを強化するだけでなく、証明書の管理を簡素化し、コンプライアンス コストを削減するのにも役立ちます。

F5は、ボックス版またはPublic Key Cryptography Standards #11（PKCS #11）経由の両方で、HSMをネットワークに接続するための複数のHSMオプションを含む最も広範なFIPS準拠プラットフォームを提供します。選択したSSL Orchestratorライセンスとモデルに応じて、さまざまな価格帯のオプションを含む多数のFIPS 140-2レベルが用意されており、規模に関係なく、あらゆる組織でポリシーを確実に遵守できます。

F5 SSL Orchestratorは、暗号化されたトラフィックに他に類のない包括的な可視性を提供し、暗号化された受信トラフィックに隠されたマルウェアやその他の脅威に関連するリスクを緩和します。また、SSL Orchestratorは、盗まれたデータの抽出やCnC通信に加え、暗号化された送信トラフィックを介したマルウェアや悪質なペイロードのさらなるダウンロードも阻止します。

また、復号および再暗号化機能の一元化と動的なサービス チェーン、インテリジェントなトラフィック ステアリングにより、高価なセキュリティ機能を大規模に実行できるようにして、CPU負荷の高い復号/暗号化を安全にオフロードします。これにより、セキュリティ投資を簡単に最大限に活用することができます。

このような対策により、セキュリティの盲点や隠れた脅威を阻止するだけでなく、既存のセキュリティ ソリューションを解放して、脅威からの防御、データ漏洩の防止、サンドボックス化、その他の関連するセキュリティサービスなど、主要な機能を最適に運用できるようになります。

SSL Orchestratorには、中小企業（SMB）、最先端の企業、クラウド向けに設計されたさまざまなライセンス オプションがあります。F5は、仮想エディション（VE）を含む複数のプラットフォーム オプションと、ミッドティアからハイエンドのアプライアンスを備えた、暗号化されたトラフィックの変化や、TLS 1.3、未来のIoTデバイス、さらにはポスト量子暗号方式などの暗号やプロトコルの変化にも対応するソリューションを提供しています。