SSLインスペクションを噛み砕いて説明する

SSLインスペクションとは簡単に言うとHTTPSを複合化して中身をチェックして暗号化して送る機能です。

UTMやファイアウォールの機能として備わっていることが多いです。また、一部のプロキシサーバにも備わっていたりします。

普通のHTTPS通信

普通のHTTPS通信と表現すると語弊があるかも知れませんが、SSLインスペクションが行われないHTTPS通信では、クライアントとサーバの間で暗号化が行われます。

簡単に言うと、パソコンからウェブサイトの間のすべての区間で暗号化がされます。

そのため、ファイアウォールやプロキシサーバが間にあったとしても、これらは単にパケットを受け渡すだけで、HTTP通信の中身が分かりません。

HTTPによってどんな内容、データがやり取りされているかは分からないのです。

パソコンからウェブサイトまで暗号化されると言うのは、途中でパケットを盗み取られても中身がわからないと言うメリットはありますが、一方で暗号化されている良くない通信を検知できないと言うデメリットがあります。

昨今はHTTPSの通信は非常に一般的になっていますし、悪意のあるウェブサイトはHTTPS通信ができないなんてことはありません。

悪意のあるウェブサイトに不適切な情報を律儀に暗号化して送ってしまうというリスクがあるのです。

SSLインスペクションの通信

一方でSSLインスペクションの場合は、UTMなどの然るべき機器で一度複合化し、中身をチェックして、再度暗号化してウェブサイトへ送ります。

そのためHTTPSで暗号化されていめも、一度複合化するので、中身を確認することができます。

そして、その内容によっては通信を遮断するなどといった対処ができ、セキュリティを強化することができます。

ただし、デメリットとは言えないかも知れませんが、手間が生じます。セキュリティと利便性はいつもトレードオフですからね。

例えば、この仕組みを使った悪い手法である中間者攻撃が存在し、通信を盗まれ、情報が流出する可能性があります。そのため、常に正しい機器がSSLインスペクションを実施できるようにする必要があります。

また、HTTPSによる暗号化はクライアントとUTM等の機器の間、およびUTM等の機器とウェブサイトの間の2カ所で行われます。そのため、然るべき箇所で然るべき証明書が使用されるようにする必要があります。

ウェブサイトやSaaSによってはクライアント証明書による認証をとっていたりしますが、SSLインスペクションを行うような環境では、ウェブサイトからみるとSSLインスペクションを行うUTM等の機器の証明書となります。そうなると、一意のユーザを特定できないなどの問題も生じ得ます。

今回は詳しい話は割愛しますが、SSLインスペクションの導入には色々と課題があるということです。

まとめ

このように、すごく簡単に言うと、普通のHTTPS通信とSSLインスペクションの違いは、クライアントからサーバまで全て暗号化されるか、途中で複合化と暗号化がされるのかの違いです。

このページではかなり噛み砕いた表現をしていますので、必要に応じてご自身でお調べ頂ければと思います。

HolderYK
  • HolderYK
  • 当サイトの管理人。ニューヨークの大学を飛び級で卒業。その後某日系IT企業でグローバル案件に携わる。マレーシアに1.5年赴任した経験を持つ。バイリンガルITエンジニアとしていかに楽に稼ぐか日々考えている。

コメントする

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です