ラック サイバーセキュリティ事業部長 中間俊英氏

ラックは3月14日、テクマトリックスと共同で開発した「SeeLAC」を用いて、暗号通信を一時的に復号および再暗号化を行う「SSL可視化ゾーン」(SSLインスペクションゾーン)構築サービスを提供開始すると発表した。

「SeeLAC」は、F5ネットワークスのロードバランサ―「BIG-IPシリーズ」向けの設定テンプレートで、BIG-IPシリーズのSSL復号機能を活用することでSSLインスペクションゾーンを作成する際にかかる工数を削減する。

サイバーセキュリティ事業部長の中間俊英氏は「SSLによる常時暗号化通信が世の中のデファクトスタンダードになりつつある一方、SSLによる暗号化は攻撃者の通信も秘匿してしまう。そのため、暗号化通信を可視化する製品も出てきているが、復号にリソースが割かれ、最適ではない状態で使われている。そこで、常時SSL化に伴う課題を解決するのが『SeeLAC』」と説明した。

政府機関のWebサイトとメール通信の暗号化対応が義務付けられたのをはじめ、金融庁と財務省のWebサイトが常時暗号化通信に対応した。GoogleもGoogle ChromeにおいてHTTPで提供されているWebサイトを『保護されていない』と警告表示するようになっている。

ラック 事業戦略部 担当部長 後藤亮太氏

常時SSL化がもたらす課題を解決する手段の1つが、SSLによる通信を可視化することだが、事業戦略部 担当部長の後藤亮太氏は、「SSL可視化」においてはセキュリティ機器、SSL復号専用機器において課題があると指摘した。セキュリティ機器の中には、SSL通信を復号して安全性を確認する機能を備えるものがあるが、監視とSSL可視化を1つの機器で行うことは負担が大きいという。また、SSLの可視化を各機器で行うことになり、非効率でもある。

一方、SSL復号専用機を利用する場合、一般的にネットワーク構成を変更する必要があるため、ネットワーク機器やセキュリティ機器に影響を及ぼすことになる。さらに、SSL復号専用機に関する専門的な知見が必要となるほか、設計に要するコストに対するリターンが見合わないという。

しかし、BIG IPとSeeLACによって提供する「SSL可視化ゾーン」構築サービスは、既存のネットワークに手を加えずにSSLインスペクションゾーンを実装でき、セキュリティ機器を追加する際もBIG IPの設定を変更するだけで済む。

  • BIG IPとSeeLACによって構築するSSL可視化の環境

  • BIG IPとSeeLACによって実現するSSL可視化のメリット

また、複雑な設定を簡素化した設定テンプレートを利用できることから、設定にかかる工程数や試験工数が短縮できるため、導入コストの削減を実現する。SeeLACを利用して同様の機能を実現する場合とSeeLACを利用する場合を比較すると、導入費に200万円の差額が生じるという。

  • SeeLACの設定画面

  • SeeLACによって実現するコストメリット

SeeLACは、ツール単体での販売は行われず、「SSLインスペクションゾーン」の構築サービスの一環で提供されるサービスアプリケーションとなる。