トラフィックの検査は組織がマルウェアを検出するのに役立ちますが、HTTPSインスペクションのセキュリティリスクについては、慎重に検討する必要があります。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
HTTPSインスペクションは、ネットワーク接続に対するオンパス攻撃と同じ技術を使用して、暗号化されたWebトラフィックを監視するプロセスです。これは、一部の企業ネットワーク機器、ファイアウォール、および脅威管理製品の機能です。
組織がHTTPSトラフィックの検査に望むこととして、マルウェアを見つけ出すこと、データを流出させる試みを特定すること、特定のWebサイトへのアクセスをブロックすることなどがあるかもしれません。マルウェアは、業務を麻痺させたり、データを盗み出したり、ファイルにアクセスできなくしたりするため、セキュリティ上の懸念となります。
HTTPSインスペクションは、SSLインスペクション、TLSインスペクション、TLS break and inspect、HTTPSインターセプションなど、多くの名称で呼ばれています。
企業がマルウェアから身を守るために HTTPSインスペクションを使用する場合、2つの別々の暗号化された接続を設定し、クライアントとサーバーの両方に偽装可能な製品を採用します。この製品は、ブロックすべき悪意のある脅威を検索しますが、エンドツーエンドの検証済み接続が1つではないことをクライアントに通知することはありません。
例えば、ある学生が授業中に友人にノートを渡す際、間に座っている人がメッセージの内容を読むことができることに気づかなかったとします。このシナリオでは、渡した人はメモを回している最中は密封されていると信じており、分かるような痕跡を残さずに開閉できることに気づいていません。ただし、HTTPSインスペクションには、この例とは異なる重要な点が1つあり、それは送信者が仲介者の存在すら認識しないという点です。
通常、WebサイトがTLSを使用する場合、クライアント端末(ユーザーのパソコンやスマートフォン)はWebサイトのホストサーバーに直接接続し、暗号化された接続を確立します。暗号化された接続が確立されると、クライアントとサーバー間のトラフィックは完全に暗号化され、中間の誰もトラフィックを見ることができなくなります。
HTTPSインスペクションでは、製品は2つのSSL接続(1つはサーバー、1つはクライアント)を確立します。クライアントから見ると、仲介者なしでサーバに直接接続しているように見えます。トラフィックは代わりにWebサイトに偽装した検査を行うこの製品にリダイレクトされます。これにはコンテンツを閲覧、変更、ブロックする機能があります。
初期のインターネットでは、トラフィックはHTTPを通して平文で送信されていました。つまり、何も暗号化されていないため、誰かにトラフィックを傍受されるとそのデータはすべて流出してしまうというものでした。
HTTPS(HTTPのセキュアバージョン)では、トラフィックが暗号化されます。クライアントとサーバーは、安全な接続を確立するために、往復の通信プロセスを経ます。
HTTPSは、インターネットトラフィックを不正な第三者の監視から保護します。しかし、悪意の行為者がその痕跡を隠すのに使用することもあります。HTTPS は、個人の銀行データであろうと、攻撃者からのマルウェアであろうと、あらゆる種類のデータを暗号化して見えなくします。
HTTPS接続時のブラウザの南京錠アイコンは、ユーザーとサーバー間のデータが暗号化されていることを意味するもので、攻撃や盗聴からウェブサイトに関するすべてが保護されていることを保証するものではありません。金融機関など、信頼できる企業が運営するWebサイトにセキュリティ上の欠陥があり、知らないうちに利用者に脅威を与えている可能性があります。逆に、攻撃者がSSL証明書を所有していてトラフィックを暗号化しているため、安全に見える悪意のあるウェブサイトを立ち上げることもできます。
HTTPSインスペクションは、不適切に行われた場合、セキュリティ上の脆弱性を生じさせる可能性があります。検査されていない通常のトラフィックの場合、ブラウザは接続をエンドツーエンドで検証することができます。証明書が有効であることを検証することで、クライアントがドメインが所有されているサーバと通信していることが保証されます。
このプロセスに割り込んで検査を行うことは、適切な注意が払われていないと、いくつかの問題を発生させる恐れがあります。
HTTPSインスペクションは以下のものを提供します:
HTTPSトラフィックに潜むマルウェアに対抗するために、広く受け入れられている唯一の方法というものはありません。有効な対策としては、以下のようなものがあります:
Cloudflare Gatewayが、トラフィックをほぼリアルタイムで監視しながら、マルウェアなどのリスクをブロックする方法をご覧ください。
利用開始
Webアプリケーションセキュリティについて
一般的な脅威
VPNリソース
セキュリティ用語集