デフォルトになりつつある、ウェブセキュリティのSSLスキャン、対応済みですか? ~McAfee Web Gateway – SSL スキャニングの必要性

マカフィー株式会社 セールスエンジニアリング本部 シニアセールスエンジニア 松本匡史です。
McAfee Web Gateway に関して、実際の現場に関わって10年。ウェブセキュリティ関連で、気に留めておいていただきたいSSL通信に関しての重要なポイントを紹介したいと思います。

Webサーバの常時SSL化が一般化され、盗聴などの脅威に対してはリスクが低減されてきました。
その一方で、それらの通信を監視する/検査するという面では、暗号化が足枷となり満足に実施できていない場合もあります。また、攻撃者はその点を悪用し、SSL暗号化の霧に攻撃の手を隠す行動に出ています。


常時SSL時代の到来

アメリカ政府機関はホワイトハウスからの通達によって、すべての政府機関が2016年12月末までに常時 SSL 化を義務付けられました。OneDrive, Dropbox, Evernote などのクラウド・ファイル・シェア・サービスは、既に常時 SSL 化されています。日本国内でもポータル最大手の Yahoo! JAPAN は、 2017年3月に全サービスの SSL 化を実施しました。その他、有名自動車/家電メーカーなどの 製造業も常時 SSL 化を実施しています。これらは Google の「HTTPS ページが優先的にインデックスに登録されるようになります」という発表が影響しているとも考えられます。現時点で、全世界のインターネットトラフィックのSSL化は 46%を超えています。 (*) これらの事から、常時 SSL 化増加とともに、Web Security でも SSL Scanning 機能は必須となっています。つまり、SSL Scanning を実施していないと、46% のSSL通信化されたトラフィックは、スキャンされずに素通りでクライアント PC の Web ブラウザにダウンロードされてしまいます。46%のSSL通信化されたトラフィックの中に、何がふくまれているかは、チェックされない状態になるということです。SSL通信化されていれば、安心ということではありません。どのような脅威が含まれているかを説明していきます。

*リンク先を更新いたしました。(2017/7/27)


SSLに隠されたファイル脅威

次に、SSL通信化されたトラフィックでどんなことが起こりうるのか、簡単な例を挙げてみましょう。
下記は、SSL通信化したトラフィックにテストウイルス「eicar.com」を使ったテストです。McAfee Web Gateway 7.x(以下 MWG)でSSL Scanner を 有効/無効にして検査状況を取得したログの一部を表示しています。

17071001

MWG の SSL Scanner を有効にすることによって、SSL 暗号化に隠された脅威も検査し、悪意を持つファイルに対してブロックできることが分かります。一方の SSL Scanner が無効の場合には そのまますり抜けて (HTTP のステータスコードが200)、クライアントPC のWebブラウザに届いてしまいます(クライアント PCでAnti-Virus 作動していれば、検知・ブロックしています)。今回の例から想像、発展させて考えてみると、本例のような単純なファイルだけでなく、ランサムウェアや、それを呼び込むような VBS などの各種スクリプト、あるいはフラッシュ コンテンツなどでも同様で、SSL Scanner を有効にしないと検査はできません。


SSLに隠されたURLカテゴリ脅威

下記は、とあるGmailを参照した際に取得されたログの一部を表示しています。

17071002

同じURLを指定してもSSL Scannerが無効な状態ではURL情報がフルパスで取得できません。つまり正確なカテゴリ情報は取得する事はできないので、カテゴリ情報内にマルウェアファイルが格納されていたり、悪意のあるスクリプト等が埋め込まれていたとしても、検査することができないばかりか、カテゴリ情報すら取得する事ができていません。一方、SSL Scanner が有効な状態であれば、URLカテゴリをフルパスで取得できるため、カテゴリ内まで検査することができ、隠れた脅威を検出することができます。


おわりに

インターネット上のSSL暗号化通信比が約半分となり、今後も増え続けることは疑う余地はありません。また攻撃者が、その攻撃を監視されていない可能性の高いSSL暗号化の中に隠す行為は増加しています。INTEL CPUの拡張命令セットAES-NI によってSSLの暗号化/複合化の能力は飛躍的に向上しており、Web Securityでそれを検査しても、パフォーマンスの低下は軽微です。現在ではSSL Scanningに対して「実施する必要があるか?」ではなく「実施しない理由があるか?」で検討する必要があるのではないでしょうか。
もちろん、McAfee Web GatewayはAES-NIを用い、SSLを高速処理できることは言うまでもありません。

著者:マカフィー株式会社 セールスエンジニアリング本部 シニアセールスエンジニア 松本匡史

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速