ニュース

ラック、テクマトリックスと共同でSSL可視化ソリューションを開発

暗号可視化ゾーンの構築サービスを提供開始

 株式会社ラックは14日、テクマトリックス株式会社と共同でSSL可視化ソリューション「SeeLAC(シーラック)」を開発し、暗号通信の一時的な復号および再暗号化を行う「SSL可視化ゾーン(SSLインスペクションゾーン)」構築サービスを、同日より提供開始すると発表した。

 「SeeLAC」は、ラックのセキュリティ診断や運用監視センター「JSOC」で培ってきたセキュリティ対策ノウハウと、テクマトリックスが取り扱っているF5 Networks(以下、F5社)製品「BIG-IP」のSSL復号機能を活用したソリューション。Webサイトの常時暗号化(SSL化)が進む中、従来のセキュリティ対策機器がもつ本来の能力を引き出す「SSLインスペクションゾーン」の実装を、容易かつ安全に実現することが可能になるという。

 同ソリューションを開発した背景について、ラック サイバーセキュリティ事業部長の中間俊英氏は、「今までのWebサイトは、httpとhttpsが混在しており、個人情報など重要な情報を入力するページだけがSSLに対応していた。しかし最近では、Webサイト全体に暗号通信を適用する常時SSL化が急速に普及し、デファクトスタンダードになりつつある。一方で、SSLによる常時暗号化はサイバー攻撃者の通信も同時に暗号化してしまうため、ファイアウォールやIPSなどのセキュリティ対策製品では攻撃が検知できなくなるという課題が顕在化していた。そこで今回、こうした課題に対する具体的な解決策として、SSLの可視化を容易にするソリューション『SeeLAC』を開発した」と述べた。

ラック サイバーセキュリティ事業部長の中間俊英氏

 「SeeLAC」の主な特徴としては、BIG-IPシリーズ向けに、SSL可視化に関わる複雑な設定を簡素化した設定テンプレート(iApps)を適用。これにより、BIG-IPを応用した可視化ゾーン「SSLインスペクションゾーン」を実装する際に、設定にかかる工程数や試験工数を短縮することができ、導入コストの削減を実現する。

 また「SSLインスペクションゾーン」のエリア内では、機能が異なる複数のセキュリティ対策機器を配置した場合でも機器ごとの復号は不要なため、各機器への煩雑な設定を省くことができる。将来的にセキュリティ対策機器を追加する際も、BIG-IPの設定を変更するだけで導入できるという。

「SeeLAC」ソリューションの概要

 ラック 事業戦略部 担当部長の後藤亮太氏は、「これまでも、セキュリティ製品やSSL復号専用機を使うことで、SSLを可視化することは可能だった。しかし、セキュリティ機器によるSSL可視化では、セキュリティ監視とSSL可視化の処理に負荷がかかるため、パフォーマンス上の問題を引き起こしやすかった。さらに、多様な暗号方式に対応できず、監視機能が有効に働かないケースもあった。また、SSL復号専用機によるSSL可視化についても、既存のネットワーク構成やセキュリティ機器に影響を及ぼす点や、SSL復号専用機に関する専門的な知見が必要となる点で課題を抱えていた」と指摘する。

ラック 事業戦略部 担当部長の後藤亮太氏

 「これに対して『SeeLAC』では、SSL復号専用機としてBIG-IPを活用することで、既存ネットワーク環境に手を加えずに『SSLインスペクションゾーン』を実装することができる。また、設定テンプレートによってSSL可視化に関わる設定の大部分を簡素化しており、構築・運用時の設定ミスを最小限に抑えるとともに、導入コストを大幅に削減することができる」(後藤氏)と、「SeeLAC」のメリットを強調した。

セキュリティ機器によるSSL可視化イメージ
「SeeLAC」によるSSL可視化イメージ

 また、テクマトリックス ネットワークセキュリティ事業部ネットワークプロダクツ3課 課長の砂道元成氏は、BIG-IPに適用した設定テンプレートについて、「BIG-IPは非常に多くのパラメーターを詳細に設定できる一方で、設定作業が複雑で難解になるという課題があった。そのため、『SeeLAC』の設定テンプレートでは、GUIによるわかりやすい設定画面を用意し、必要最小限のパラメーターを登録するだけで『SSLインスペクションゾーン』の設定を完了できるようになっている」と説明した。

テクマトリックス ネットワークセキュリティ事業部ネットワークプロダクツ3課 課長の砂道元成氏

 ラックとテクマトリックスでは今後、「SeeLAC」を活用し、顧客のネットワーク内に「SSLインスペクションゾーン」を構築するサービスを提供していく。顧客は、既存のセキュリティ対策機器を「SSLインスペクションゾーン」に収納することで、それぞれの機器本来の性能を100%発揮させることができ、また暗号通信に対応できない従来の機器でも、安全で効率的な運用が可能となる。