SSL通信の危険性と、WAFによるWebサイト保護の話

 2017.05.02 Secure Enterpriseポータル

Webサイトの常時SSL化がSEO(検索エンジン最適化)に影響するなどの情報から、全ページにSSL通信を適用しようという動きが活発になっています。

また、2015年にリリースされたApple社のモバイルOSであるiOS9では、ATS(アプリケーショントランスポートセキュリティ)が新たに実装されました。ATPが有効になっている場合、暗号化されていないHTTPでの通信は許可されません。

こうした背景から普及が進んでいるSSL通信ですが、実は必ずしも危険性がないというわけではありません。「SSL通信を導入しているから大丈夫」と安心していると、思わぬところからWebサイト改ざんや情報漏えいが起き、損害を受けてしまう可能性があります。

今回はSSL暗号化通信の危険性を理解していただき、同時にWAF(ウェブアプリケーションファイアウォール)によるWebサイトの保護について紹介していきます。

SSL通信の基本をおさらい

SSL通信並びにTLS通信とは、Webサーバとクライアント間で行われるHTTP通信を暗号化するための技術です。ちなみにHTTP通信とは、Webサーバとクライアント間でデータの送受信を行うためのプロトコルとなります。

現在最新のHTTP通信暗号化技術はTLS1.2というバージョンですが、「SSL」という名称が広く普及したことから、現在でもSSL通信として認識されることが多くなっています。SSL通信の最終バージョンとなってるSSL3.0には脆弱性があり、すでに非推奨の暗号化技術でもあります(ここでは混乱を避けるためSSL通信で統一します)。

SSL通信を導入するメリットは、通信内容の盗聴やWebサイト改ざん、成りすましといったリスクを低減することです。

HTTP通信が暗号化(HTTPS化)されることで第三者は通信内容を容易に盗聴できず、これにより正規ユーザーへの成りすましなどが困難になります。また、SSL通信ではWebサイト運営者の情報、暗号化に必要な鍵、そしてSSL証明書発行者の署名データが確認できます。

ユーザーはWebサイト上でSSL通信の有無を確認でき、かつWebサイト運営者情報も知ることができるので、Webサイトの信頼性が向上するというわけです。

SSL通信の危険性

暗号化技術によってWebサイトを保護するSSL通信ですが、全てが完璧というわけではありません。Webアプリケーションによく脆弱性が発見されているように、SSL通信にも脆弱性が発生する可能性があります。

最新バージョンでもあるTLS1.2において深刻な脆弱性は発見されていませんが、SSL3.0では「POODLE」と呼ばれる重大な脆弱性が報告されています。

攻撃者はSSL3.0を使用する暗号化通信において、リクエスト送信を複数回試み、暗号化通信の一部を解読してしまう恐れがあります。また、「POODLE」にはSSL通信をダウングレードさせるという脆弱性もあり、最新バージョンのTLS1.2を使用していてもSSL3.0にダウングレードさせられ、暗号化通信を解読されてしまう可能性があります。

安全のために導入していたSSL通信が、セキュリティリスクを生んでしまっているのです。ちなみに「POODLE」への対策は、SSL3.0を無効にすることで比較的簡単に対応できます。

しかしここで理解していただきたいことは、SSL通信にも危険性が潜んでいることはあるということです。

SSL通信が持つもう一つの危険性

現在様々なセキュリティソリューションがリリースされ、企業規模を問わずあらゆる企業が高いセキュリティ性を保持する時代になりました。しかし、だからといって安心はできません。

HTTP通信をSSL通信によって暗号化していると、Webサイトに対して実行された不正な通信も暗号化されてしまうことになります。つまり、現在導入しているセキュリティソリューションがSSL通信解読に対応していなければ、攻撃者からの不正通信に気付かない可能性があるのです。

こうしたリスクを避けるためには、SSL通信解読に対応してセキュリティソリューションを導入する必要があります。そしてそのセキュリティソリューションが、Webサイトの保護に効果を発揮するWAFです。

WAFとは

WAFはWebサーバとクライアント間に介在し、HTTP通信を監視及び制御するためのセキュリティソリューションです。通常のファイアウォールと混同されがちですが、保護するレイヤーに大きな違いがあるため、まったく別のセキュリティソリューションとなります。

WAFの基本はシグネチャ(攻撃パターンを定義したファイル)によるパターンマッチングです。一つ一つのHTTP通信を精査して、定義された攻撃パターンに該当する通信を遮断します。

これ以外にも、予め設定したパラメータ値に該当する通信のみを許可する、ホワイトリスト方式があります。企業はWebサイトの特徴や現状に合わせ、最適な防御方式を持つWAFを導入するのです。

様々なメリットも持つWAFですが、その中の一つに「SSL通信解読」があります。つまり、SSL通信によって暗号化されたHTTP通信も解読した上で通信を精査するため、不正通信を効果的にブロックできるというわけです。

従来のWAFと言えば「高い」「面倒」「難しい」というマイナスイメージが付きまとっていましたが、最近ではそのセキュリティ性の高さが再認され、既に前述のイメージが払しょくされています。

また、Webサイトを対象にしたサイバー攻撃が急増していることから、Webアプリケーションを保護する唯一のセキュリティソリューションである、WAFの需要が年々高まっているのです。

シマンテック クラウド型WAFの特徴

シマンテックが提供するクラウド型WAFは、SSL通信解読にも対応したクラウドサービスとしてのWAFです。企業は新たなサーバや専用ハードウェアを購入する必要はなく、Webサーバへのソフトウェアインストールも不要です。

初期費用と月額利用料のみで、最短1週間でWAFによるセキュリティ環境を構築することができます。

また、シマンテック クラウド型WAFは業界でも低コストで導入できるWAFの一つであり、イニシャルコストと運用コストの両方を抑え、かつ高いセキュリティを実現します。年間100回以上のシグネチャアップデートにより、未知の脆弱性へも迅速に対応します。

そしてもう一つ、クラウドサービスとして提供していることもあり、企業側で行う運用業務はほぼ発生しません。システム運用はセキュリティベンダーが責任を持って行うので、企業側では定期的なログ確認のみで済んでいる状況です。

もちろん、企業側で特定のIPアドレスを拒否したり、独自にセキュリティ環境を構築することもできます。

まとめ

数年前までは「重要なページのみSSL通信で暗号化する」という認識が一般的でしたが、現在では常時SSL化が当たり前の時代となっています。現状としてまだSSL通信を導入していない企業では暗号化が急務となるのでしょう。

その上でSSL通信が持つ危険性も十分に理解し、それに対処できるセキュリティソリューションを導入することで、Webサイトを総合的に保護することができます。

シマンテックではクラウド型WAFを検討されているお客様向けに無料トライアルを提供しています。簡単な設定ですぐに導入時の効果を確認いただくことができ、Webサイトセキュリティを検討されているお客様におすすめです。

WAFソリューションで実現するWebサイトセキュリティをぜひご検討ください。