常時https化で大きく変化するファイアウォールの
役割と複雑化する運用への対応策とは
Google Chrome の大幅な仕様変更とその背景
Googleの提供するブラウザである Chrome は、正式公開から10年目を迎えた2018年9月、バージョン69で大規模な変更が行われました。
Chrome 69では、全体的に丸みを帯びたデザインへと変化した外観以外に、セキュリティの観点から見落とすことができない、大きな仕様変更が行われています。
これまで、暗号化されているページに接続した時には、Chromeのアドレスバーに緑色の文字で「保護された通信」と表示されていましたが、Chrome 69では、緑色の文字による表示が廃止され、グレーの鍵マークのみに変更されると同時に、暗号化されていないサイトに接続する時には、アドレスバーに「保護されていないサイト」と表示されるように、仕様変更されています。
つまり、https接続で保護されている安全な通信が行われていることを強調していたものが、Chrome 69では、暗号化されていない危険な通信であることを強調する仕様に変更されたことになります。
この背景には、Webサイトのすべての通信をhttps対応する「常時https化(常時SSL/TLS化)」を採用するサイトの増加があります。
従来は個人情報の入力など重要な情報を取り扱うページのみ、暗号化を行っているサイトが中心でしたが、2017年の年末以降、常時https化を採用するサイトが増加しています。
自社サービスの常時https化を積極的に推進しているのがGoogleで、すでにサービスの95%はhttps化が終了しています。
Chrome 69で行われた暗号化通信に関する表示の変更も、今後は、暗号化されているhttps接続を標準として、暗号化されていないhttp接続は例外的なものとして取り扱っていくという、Googleの方針が反映された結果であると理解して間違いないでしょう。
常時https化採用のメリットは大きい
Webサーバーとブラウザの間の通信をすべて暗号化する「常時https化」には、メリットがあります。
1つ目のメリットは、通信内容の盗聴や改ざん、なりすましを防ぐことができることです。
オープンなネットワークであるインターネットには、その仕組み上、通信経路の途中で情報を盗まれるというリスクが存在しているのは確かですが、机上レベルのリスクとして評価されていました。
しかし、NSA(アメリカ国家安全保障局)とCGHQ(英国政府通信本部)による大規模な盗聴行為が、エドワード・スノーデンによって明らかにされた2013年以降、インターネットの通信経路上での盗聴や改ざんは、現実の脅威として認識されています。
すべての通信をブラウザとWebサーバー間で暗号化する「常時https化」は、これらの脅威に対抗できる最も効果的な打ち手として、導入が進められています。
2つ目は、表示速度が向上するというメリットです。
現在、ブラウザとサーバー間の通信プロトコルは、1999年に公開された HTTP/1.1 が主流となっています。
HTTP/1.1には、Webサーバーに対して、原則として1つずつしかリクエストを送信することができないという制約があるため、一つ一つ順番にテキストや画像を読み込むことになり、結果的にページ全体の表示速度が遅くなってしまうという課題がありました。
インターネットが広く普及して以降、長年使い続けられてきた HTTP/1.1の後継として、2015年に登場したのが 次世代プロトコルである HTTP/2 です。
HTTP/2 を利用すると、複数のリクエストを同時進行で処理できるため、ページ全体の表示速度を向上させることができます。
しかし、HTTP/2は、一般的なブラウザでは暗号化された通信上でのみ利用できるため、常時https化が必須となります。
httpsは、暗号化と復号化によるオーバーヘッドが発生することから、httpよりも通信効率が悪く、レスポンスに影響が出るとされていましたが、暗号化通信のみに対応し、レスポンスが向上した次世代プロトコルであるHTTP/2の登場により、http通信よりもhttps通信のほうが表示速度の面で有利になっています。
3つ目は、常時https化したサイトのほうが、Google検索上有利であるという点です。
Googleは2014年の時点で、暗号化されていないサイトよりも、https対応サイトを安全なサイトであると評価し、検索順位を判断する要素に加えると発表しています。
実際に常時https化が検索順位に及ぼす影響は、他の要素に比べると低いと言われているものの、メリットがある事にはかわりありません。
このようにメリットの多い常時https化は、急速に採用が進んでおり、常時https通信が主流になるのは時間の問題であると言えるでしょう。
常時https化でネットワークセキュリティの7割が機能しなくなっている
メリットばかりに見える常時https化ですが、企業のセキュリティという観点では大きな落とし穴が存在します。
常時https化の普及と同時に、暗号化通信を隠れ蓑にして不正な通信を行うマルウェアも増加しているのです。
すでにファイアウォールやURLフィルタリングなどのセキュリティ対策を導入していても、https通信はチェックの対象外としている事例が多く存在します。
現在導入しているセキュリティ対策が、機器の仕様や設定により、https通信に対応していない場合、暗号化された不正な通信も検知できません。
GoogleがChrome利用者の統計情報から求めた、日本のhttps通信の利用状況によると、2016年10月に31%だったものが、2018年10月には70%を超えています。
https通信をセキュリティ対策の対象としていない場合、2年前は7割の通信をチェックできていても、通信の質が大きく変化した結果、現在では3割の通信しかチェックできていないことになります。
このままhttps通信の比率が増加し続け、ほぼすべての通信がチェックできない状態になってしまうと、セキュリティレベルが低下するだけではなく、投資効率の低下という意味でも無視できない状態になってしまいます。
https通信を可視化してチェックできる装置も増えている
https通信の増加と、それを隠れ蓑にしたマルウェアの発生を受けて、暗号化通信をチェックできる「可視化ソリューション」が登場しています。暗号化通信を一旦解読してチェックし再び暗号化する製品や、Proxyとして動作してチェックする製品など、可視化ソリューションにも様々な方式があるため、ネットワーク構成に合わせて導入することができます。
また、すでに導入している製品によっては、設定変更やソフトウェアのバージョンアップで対応できるケースがあるかもしれません。
複雑な機器構成とマルチベンダ化により運用管理が重要に
暗号化通信の監視は、装置の負荷が高い処理であるため、単純に導入するだけでは、スループットに影響が出る場合があります。
十分な性能を出すためには、ファイアウォールと可視化ソリューションを組み合わせて機能を分担したり、負荷を分散したりする工夫が必要です。一定規模以上の企業になると、機能別に複数の製品を組み合わせる構成になるため、おのずと複数社の製品が混在するマルチベンダ構成になる傾向があります。
ネットワークセキュリティの維持には、適切なポリシー管理が極めて重要ですが、ネットワーク構成が複雑になるほど、運用負荷が高くなるという課題があります。
マルチベンダ環境に対応した運用管理ツールを導入し統合管理することで、運用上の課題を解決できます。