HTTPSインスペクションとは?

トラフィックの検査は組織がマルウェアを検出するのに役立ちますが、HTTPSインスペクションのセキュリティリスクについては、慎重に検討する必要があります。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • HTTPSインスペクションの仕組みについて説明する
  • 攻撃者がHTTPSを使用して活動を隠蔽する方法について説明する
  • 攻撃リスクを軽減するための代替策を理解する

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

HTTPSインスペクションとは?

HTTPSインスペクションは、ネットワーク接続に対するオンパス攻撃と同じ技術を使用して、暗号化されたWebトラフィックを監視するプロセスです。これは、一部の企業ネットワーク機器、ファイアウォール、および脅威管理製品の機能です。

組織がHTTPSトラフィックの検査に望むこととして、マルウェアを見つけ出すこと、データを流出させる試みを特定すること、特定のWebサイトへのアクセスをブロックすることなどがあるかもしれません。マルウェアは、業務を麻痺させたり、データを盗み出したり、ファイルにアクセスできなくしたりするため、セキュリティ上の懸念となります。

HTTPSインスペクションは、SSLインスペクション、TLSインスペクション、TLS break and inspect、HTTPSインターセプションなど、多くの名称で呼ばれています。

HTTPSインスペクションの仕組みとは?

企業がマルウェアから身を守るために HTTPSインスペクションを使用する場合、2つの別々の暗号化された接続を設定し、クライアントとサーバーの両方に偽装可能な製品を採用します。この製品は、ブロックすべき悪意のある脅威を検索しますが、エンドツーエンドの検証済み接続が1つではないことをクライアントに通知することはありません。

例えば、ある学生が授業中に友人にノートを渡す際、間に座っている人がメッセージの内容を読むことができることに気づかなかったとします。このシナリオでは、渡した人はメモを回している最中は密封されていると信じており、分かるような痕跡を残さずに開閉できることに気づいていません。ただし、HTTPSインスペクションには、この例とは異なる重要な点が1つあり、それは送信者が仲介者の存在すら認識しないという点です。

通常、WebサイトがTLSを使用する場合、クライアント端末(ユーザーのパソコンやスマートフォン)はWebサイトのホストサーバーに直接接続し、暗号化された接続を確立します。暗号化された接続が確立されると、クライアントとサーバー間のトラフィックは完全に暗号化され、中間の誰もトラフィックを見ることができなくなります。

HTTPSインスペクションでは、製品は2つのSSL接続(1つはサーバー、1つはクライアント)を確立します。クライアントから見ると、仲介者なしでサーバに直接接続しているように見えます。トラフィックは代わりにWebサイトに偽装した検査を行うこの製品にリダイレクトされます。これにはコンテンツを閲覧、変更、ブロックする機能があります。

セキュリティで保護されたトラフィッがマルウェアを配信する方法は?

初期のインターネットでは、トラフィックはHTTPを通して平文で送信されていました。つまり、何も暗号化されていないため、誰かにトラフィックを傍受されるとそのデータはすべて流出してしまうというものでした。

HTTPS(HTTPのセキュアバージョン)では、トラフィックが暗号化されます。クライアントとサーバーは、安全な接続を確立するために、往復の通信プロセスを経ます。

HTTPSは、インターネットトラフィックを不正な第三者の監視から保護します。しかし、悪意の行為者がその痕跡を隠すのに使用することもあります。HTTPS は、個人の銀行データであろうと、攻撃者からのマルウェアであろうと、あらゆる種類のデータを暗号化して見えなくします。

HTTPS接続時のブラウザの南京錠アイコンは、ユーザーとサーバー間のデータが暗号化されていることを意味するもので、攻撃や盗聴からウェブサイトに関するすべてが保護されていることを保証するものではありません。金融機関など、信頼できる企業が運営するWebサイトにセキュリティ上の欠陥があり、知らないうちに利用者に脅威を与えている可能性があります。逆に、攻撃者がSSL証明書を所有していてトラフィックを暗号化しているため、安全に見える悪意のあるウェブサイトを立ち上げることもできます。

HTTPSインスペクションのリスクとは?

HTTPSインスペクションは、不適切に行われた場合、セキュリティ上の脆弱性を生じさせる可能性があります。検査されていない通常のトラフィックの場合、ブラウザは接続をエンドツーエンドで検証することができます。証明書が有効であることを検証することで、クライアントがドメインが所有されているサーバと通信していることが保証されます。

このプロセスに割り込んで検査を行うことは、適切な注意が払われていないと、いくつかの問題を発生させる恐れがあります。

  • 特に検査を行う製品が現在の暗号標準を使用していない場合、検査後の暗号化で安全性が低下する恐れがあります
  • 一部の検査を行う製品では、証明書チェーンを正しく検証できないため、犯罪者から別のオンパス攻撃を受ける可能性が高くなります
  • ブラウザは頻繁に自動更新され、新しいセキュリティ問題に対応していますが、検査を行う製品は、トランスポートレイヤーセキュリティ(TLS)プロトコルの最新バージョンへの対応など、セキュリティのベストプラクティスへの対応が遅れる可能性があります。

HTTPSインスペクションのメリットとは?

HTTPSインスペクションは以下のものを提供します:

  • ネットワークトラフィックと潜在的なリスクの可視性の向上
  • 組織のネットワークに対する悪意のある攻撃をより高い確率で阻止
  • 企業のセキュリティポリシーを実施する能力の向上

HTTPSインスペクションの代替手段は?

HTTPSトラフィックに潜むマルウェアに対抗するために、広く受け入れられている唯一の方法というものはありません。有効な対策としては、以下のようなものがあります:

  • 暗号化を解除せずにセキュリティ証明書を検査するファイアウォールを使用して不審な行動を特定する
  • 従業員が未承認のソフトウェアをダウンロードすることを制限したり、エンドポイントの監視を強化するなど、従業員に起因するリスクに元から対処する
  • ファイアウォール内のディープパケットインスペクションルールを細かく設定する
  • DNSフィルタリングセキュアWebゲートウェイを採用し、安全でないWebサイトやサーバーとの接続をブロックする
  • ブラウザの分離を使用して、ブラウジング活動を安全な環境に隔離して、安全でないコードがネットワーク内部で実行されないようにする

Cloudflare Gatewayが、トラフィックをほぼリアルタイムで監視しながら、マルウェアなどのリスクをブロックする方法をご覧ください。