| エンタープライズ:ニュース | 2003/09/22 22:30:00 更新 |
SSLは「ウイルスの最後の隠れ家の1つ」と指摘する独WebWasher
ドイツに拠点を置くセキュリティ企業、WebWasher AGのクリスチャン・A・マッツェン氏は、安易なSSL通信の導入はかえって企業セキュリティを脅すことになりかねないと指摘する。
企業が取り組むべきセキュリティ対策としては、しばしば、ウイルス対策やファイアウォールの設置、それに暗号技術の導入などが挙げられる。しかしドイツに拠点を置くセキュリティ企業、WebWasher AGのクリスチャン・A・マッツェン氏によると、安易な暗号技術の導入がかえって、企業セキュリティを脅す可能性があるという。
というのも、暗号化されたトラフィックの内容はたとえ管理者といえどもチェックできない。既存のツールでは、ウイルスの有無すら検査できず、悪意あるコンテンツが流入していても分からないからだ。
「HTTPS(SSL)による暗号化通信は増加しており、2003年には前トラフィックの30%を占めるとの予測もある。しかし、SSLは管理者にとって一種のブラックホールでもある。『SSLはe-ビジネスを推進していく上で止めるわけにはいかないが、その中身を確認することができない』というジレンマが生じている」(マッツェン氏)。
同氏によると、電子商取引や電子調達の進展に伴い、HTTPSトラフィックの量は増加している。またWeb以外にも、インスタントメッセンジャーやP2Pアプリケーションなど、SSL通信を利用するツールが登場してきた。もはやSSLを使わないことなど考えられない状況になっているにもかかわらず、その内容をスキャンできないことは(暗号化通信の本来の役割を考えればもっともなことなのだが)大きな問題だという。
もう1つ、マッツェン氏が指摘する問題がある。「SSL認証や電子証明書に関する知識を持ったユーザーはまだ少ない。Webブラウザがせっかく“この証明書は失効しています”といった警告を表示しても、ユーザーはとにかく“はい”を押して通信を確立させてしまう」(同氏)。適切に設定されたSSL通信は、盗聴を防ぎ、経路の安全性を確保してくれるが、その前にまず通信相手が本当に正しい相手かどうか、信用できるかどうかを確認する必要があるという。
包括的なコンテンツセキュリティを
こうした問題を解決するために同社が開発した製品が「WebWasher SSL-Scanner」だ。同じくWebWasherが開発したコンテンツセキュリティ製品「WebWasher EE」の追加モジュールとして、国内ではバーテックス リンクを通じて販売されている。
WebWasher EEは、Webコンテンツのフィルタリングを行うゲートウェイ型のソフトウェア製品で、個人情報の漏えいをブロックしたり、クロスサイトスクリプティングを防ぐ機能もサポートしている。WebWasher SSL-Scannerは、このWebWasher EEの機能を強化し、SSL通信のスキャニングを行うためのオプション製品となる。
WebWasher SSL-Scannerは企業ゲートウェイ部で一種のSSLプロキシとして動作する。まず接続時には、Webサイトが提示する電子証明書をチェックし、失効リストなどと突き合わせて有効性を確認したうえでコネクションを許可する。SSL-Scannerはその後も、暗号化されたコンテンツを復号し、ウイルスや悪意あるコンテンツが含まれていないかどうかをチェック。安全であることを確認した後、再度暗号化してクライアントまで届ける仕組みだ。「エンドツーエンド」の暗号化通信こそ損なわれるものの、暗号化されたトンネルを通じて不適切なコンテンツが社内に流れ込む事態は防ぐことができる。
SSLというと、暗号化/復号化の際に大きな負荷がかかる点がしばしば指摘される。これに対しWebWasherではnCipherやRainbow Technologiesといった企業と提携を結んでおり、それらパートナーのSSLアクセラレーションカードを活用することで、スループット低下の問題をクリアできるとしている。
「ウイルスが拡散の際にSSLを利用するケースも実際に報告されている。つまり、ウイルスの最後の隠れ家の1つがSSL通信だ。SSL-Scannerはその最後の穴を塞ぐ唯一の製品である」(マッツェン氏)。
WebWasherではWebWasher EEとSSL-Scannerのほか、有害サイトなどへのアクセスを制限するURLフィルタリング製品「WebWasher AC」や電子メールのフィルタリングを行う「WebWasher PG」といった製品群を展開している。マッツェン氏によると、同社は近いうちに、インスタントメッセンジャー向けのソリューションを追加する計画で、「あらゆるトラフィックに対し、企業セキュリティポリシーに沿って運用できる、穴のない包括的なコンテンツセキュリティソリューションを提供していく」(同氏)という。
関連記事
SSL通信に対しコンテンツフィルタリングを実現、「WebWasher SSL-Scanner」バーテックス リンク、コンテンツセキュリティ製品「WebWasher EE」を発売関連リンク
WebWasherバーテックス リンク(WebWasherのページ)[高橋睦美,ITmedia]
