SSL/TLS暗号化:今日の課題

SSL(Secure Sockets Layer)は正確にはTLS(Transport Layer Security)と呼ばれますが、これは、慎重に扱うべきデータをインターネット上でやりとりする場合に保護するデフォルトのアプローチになっています。SSLは暗号化を使用して、ユーザとウェブサイト、およびそのウェブサイトが提供するウェブベースサービスとの接続に関するデータの秘密性を確保します。ユーザログイン画面、電子商取引のチェックアウトページ、オンラインバンキングなど、慎重に扱うべきウェブトラフィックの圧倒的多数がSSLを使用して暗号化されています。企業内のさまざまな場所で、暗号化を使用すべきかどうか、また、どこで使用すべきかと言う議論はよくなされますが、インターネットトラフィックへのSSL暗号化の使用が問題になることは稀です。しかし、ウェブアプリケーションやクラウドベースサービスの利用が増加し、さらには内部ネットワークの暗号化が必要になることで、SSL接続と、それに伴うSSL関連の鍵と証明書の数が急速に増加しています。多くの場合、この増加に対応する際の運用上の課題は、セキュリティに関して考慮すべき重要な事項に影を落とす可能性があります。

詳しくはこちら

SSLによるセキュリティは、マスタ鍵と、それに結びつく、通信にかかわる組織の身元を証明するSSL証明書に依存しており、個々のセッションごとに固有の暗号鍵を得ることが可能です。他の暗号鍵同様、SSLのマスタ鍵も保護する必要があります。SSL鍵を盗み出した攻撃者は、実在のサイトに成りすましてトラフィックを読み取ることができます。SSLソリューションのセキュリティは鍵のセキュリティに直接関係するので、高い保証性を必要とする組織は、SSL鍵とSSL接続プロセスを保護するために追加的な措置を講じることを必要とする場合があります。これらの組織には、クレジットカードやデビットカードによるトランザクションの処理を行う銀行その他の機関、その評価とサービス価値が、高いレベルのセキュリティに依存しているクラウドサービスプロバイダ、あるいは公共ネットワークや仮想プライベートネットワーク上で高価値の情報を交換する組織などが含まれます。より高いレベルの保証性を実現するひとつの方法は、ハードウェアセキュリティモジュール(HSM)でSSL暗号鍵を保護することです。実際、いくつかの政府向けアプリケーションでは、この保護方法が正式に要求されています。これらの専用ハードウェアは、ウェブサーバやホストの暗号処理負荷を軽減し、能力を大幅に向上させるとともにCPUのオーバーヘッドを減らします。

セクションを隠す

リスク

  • SSL鍵にアクセスした攻撃者は、秘密情報を盗み出したり本物のサイトになりすましたりすることで、企業に損害を与えます。
  • ソフトウェアで保存されたSSL鍵は、内部からの攻撃に対して脆弱な場合があります。
  • SSLによる暗号化/復号プロセスは多くのリソースを消費するので、サーバや大量データを処理するアプリケーションの性能を低下させる可能性があります。
  • SSLベースの操作は、ウェブサーバやビジネスアプリケーションのみに限定されるとは限りません。SSL接続は、ネットワークアプライアンス、トラフィック検査用ゲートウェイやファイアウォール、その他の性能モニタリングデバイス内で終端されることが多くなっています。これらいずれの場合においても、鍵は一貫した形で保護する必要があります。

SSL/TLS暗号化:Thales e-Securityソリューション

Thales e-Securityの製品とサービスは、保証性の高い高性能のSSL暗号を導入して企業と顧客の情報を保護しながら、重要なウェブアプリケーションが必要とする性能を実現する助けとなります。nShield HSMは、以下のようなさまざまな方法でSSL実装の価値を高めます。

  • マスタSSL暗号鍵を保護して、SSLプロセス全体の完全性を保証します。標準APIおよび、一般的ウェブプラットフォームとSSLツールとのすでに実証済されている統合化を通じ、開発者とITセキュリティ担当者は、SSLプライベート鍵の保護と管理をnShield HSMのセキュアな境界内で行うことで、より高いレベルの保証性を実現することができます。
  • 最適化されたHSMデバイス上でプロセスを実行することによって、SSLセッションの確立および接続にかかる時間を短縮します。比較的通信データ量が多く性能が重視されるアプリケーションでは、HSMが提供する暗号オフロード機能を使用してSSLセッションのハンドシェーキングを実行することにより、アプリケーションの効率を大幅に向上させることができます。この専用に用意されたSSL処理を使用すると、ウェブサーバやホストがより多くのインターネット接続をより高速で扱うことができるようになり、それによって全体的能力が向上するとともに、ハードウェアコストが最小限に抑えられます。
  • SSL接続全体のセキュリティを確保します。最大限の保護を必要とするアプリケーションの場合、アーキテクトは、nShield HSMのCodeSafe SSL機能の利点を生かして、SSLソフトウェアスタック全体と対応するアプリケーションロジックをHSMのセキュアな境界内に置くことができます。
  • SSL機能を組み込む商用デバイスとアプライアンスの保証性のレベルを上げます。SSLの終端は、ゲートウェイ、ファイアウォール、ネットワークスイッチ、ロードバランサなど、さまざまなタイプのデバイスの中で発生するため、製品ベンダは、これらのデバイスとHSMを統合して、高い保証性を備えた高性能のFIPS認定を受けたSSLへの対応機能を作り出すことができます。

利点:

  • 第三者機関の証明を受けたHSM(FIPS 140-2レベル3およびコモンクライテリアEAL4+)を使用して、SSL暗号化/復号プロセスの完全性を保証します。
  • 業務の分離を実現する耐タンパの鍵生成機能と鍵管理機能の使用を通じて、コンプライアンス報告を容易にします。
  • 暗号化オフロードによって高可用性とサーバ性能の向上を実現します。
  • 少量または大量通信どちらのアプリケーションについても、コスト効果の高いソリューションを展開します。速度と製品形状を選択できる利点を生かして、ニーズに合った本当に必要なソリューションのみを導入し、ニーズが変化した場合も簡単にアップグレードすることができます。