HTTPS Deep Inspection
Facebook で指摘されたのだが,確かに世に出ているセキュリティ製品には HTTPS セッションを横取りし復号化(ここでは仮に HTTPS Deep Inspection と呼んでおく)してしまうものがある。 セキュリティ企業の老舗である McAfee や Symantic にもそういった製品がある(ただし既定では無効になっている)。 最近ではこんな記事があった。
コールソン氏によれば、「すでに企業トラフィックの30~40%はSSLトラフィックが占めている」という。そして今後、その割合はさらに増えていくはずだ。だが同時に、これがマルウェアの侵入路にもなっていると、コールソン氏は警告する。たとえば標的型攻撃などで、企業内に侵入したマルウェアが外部のC&Cサーバーとやり取りし、企業の機密情報を外部に送信しているとしても、トラフィックが暗号化されてしまえば完全に“見えなく”なってしまう。そして、実際にその悪用が始まっているという。
「SSL暗号化通信に隠れた攻撃をあぶり出す」ブルーコートより
暗号化通信の目的は第3者による通信の傍受・改ざんの防止であり,通信の中身は関知しない。 特に近年注目されている APT(Advanced Persistent Threats)は乗っ取った端末機から機密情報を「持ち出す」のだが,この際に HTTPS などの暗号化通信を使われると古いタイプの Firewall では検知できない。
HTTPS Deep Inspection はこういった問題に対して需要がある。
銀行や病院,あるいは軍や政府関係などの mission critical な環境では,かなり高めにリスクが見積もられる。 こういった環境では,通信統制は比較的やりやすい(上で紹介した記事では「可視化」と呼んでいるが,これは明らかに統制である)。 HTTPS Deep Inspection を導入する企業・組織というのは,恐らくそういうところなんだろう。 セキュリティ製品を提供する側も企業なので対等な立場で partnership を結ぶこともできる。
一方で,たとえば近年流行りの BYOD(Bring Your Own Device)やクラウド型の情報基盤を導入している場合は HTTPS Deep Inspection はあまり役に立たない。 HTTPS Deep Inspection は Web Proxy あるいは Firewall に組み込まれるものだが,これは “Good man IN, Bad man OUT” を前提にしている。 しかし実際には,企業内ネットワークに malware が持ち込まれることもあるし,従業員が外から企業内ネットワークやクラウド上のリソースにアクセスすることもある。
そして個人ユーザのレベルでは HTTPS Deep Inspection は到底許容できるものではない。 なぜならこれは,インターネットの “End to End” の原則を崩すものであり,ひいては「ネットの中立性」に楔を入れるものだからだ。 私たちは HTTPS Deep Inspection やそれを組み込んだセキュリティ製品を慎重に排除していく必要がある。(malware などもっての外)
