インラインTLS複合化および暗号化

TLS/SSLアクティブSSL

すべての暗号化トラフィックを完全に可視化することで、お客様のネットワークを保護

この製品をすでにお持ちですか? テクニカルサポートにアクセスする

キーサイトのInline Decryption

ほとんどのトラフィックが暗号化されエフェメラルキーが主要技術になる中で、企業はネットワークとユーザーを保護するためトラフィック中にある脅威やマルウェアを検知できる一方で、トランスポート・レイヤー・セキュリティ(TLS)1.3の利点を維持する方法を必要としています。

SecureStack機能セットの新しいInline Decryption機能を使えば、企業は可視化プラットフォーム経由でエフェメラルキー暗号を使う内部トラフィックを見ることができます。 キーサイトのInline Decryptionは送受信トラフィックをインライン、アウトオブバンドツール両方で使用でき、またNetStackPacketStackAppStack機能と同時に使用することが可能です。 Inline Decryption機能は、高性能でロスレスな可視化を提供するターンキー方式のネットワーク・パケット・ブローカーVision ONE™Vision Xと互換可能な分離された高性能アプリケーションモジュール経由でご利用できます。 専門の暗号プロセッサで、Inline Decryptionは可視化ソリューションに統合された優れたスループットを提供します。 さらに、内蔵されたポリシー管理、ユニフォーム・リソース・ロケーター(URL)の分類、主要な暗号のサポート、そしてレポート作成も含まれます。

アクティブSSL

セキュリティのジレンマ

SSL統計

企業はインターネットエクスチェンジを暗号化して自身やユーザーを保護し、特にクレジットカード番号や社会保障番号などの機密情報を保護します。2017年時点、FirefoxGoogleは自社のブラウザ経由で訪れたサイトのうち75 %はトラフィックを暗号化していると発表しました。 暗号化は個人情報の窃盗、セキュリティ侵害、データ漏洩などの防止に役立ちます。 しかし、トロイの木馬のように暗号はマルウェアや他の脅威がネットワークに侵入する隠れ蓑となるかもしれません。 ガートナーの予測によれば、2020年までに60 %以上の企業がHypertext Transfer Protocol Secure(HTTPS)を効率的な復号化に失敗し、最も標的となるウェブマルウェアを見過ごすだろうと言われています。 しかもハッカーたちはより巧妙になり、一部の暗号はより脆弱になっています。

このジレンマに対する解決方法は2つあります:

  • 不正アクセスされにくい暗号化技術を使う
  • すべての暗号化トラフィックを、企業のセキュリティ/モニタリングポリシーとして検査し脅威を見つける

なぜエフェメラルキーなのでしょうか

ともに一般的にはSSLと呼ばれるセキュア・ソケット・レイヤー(SSL)とトランスポート・レイヤー・セキュリティ(TLS)は、コンピューターネットワークでの通信を保護するためデータがスクランブル状態あるいはコード化されている技術です。 右側の図のように、これはサーバーから提供されたパブリックキー経由でコード化されインターネットに伝送される情報を交換する技術です。 受け手側(サーバー)はデータの復号化ができます。なぜなら方式の半分であるプライベートキーを有しているからです。

暗号化技術は、スタティックキーを使うRivest-Shamir-Adleman (RSA)が主流でした。 つまり、サーバーは通信用のキーを持っているということです。 現在、もしこのキーが何かの形で損なわれたら、そのサーバーからの通信が晒されてしまいます。 この懸念を解決するため、多くの企業や規制団体はエフェメラルキー暗号化、最も一般的なのが新しいキーが交換ごとに生成されるElliptic curve Diffie–Hellman ephemeral (ECDHE)を使用し義務付ける方向にシフトしています。

ベーシックSSL

Perfect Forward Secrecy(完全な前方秘匿性)とTLS 1.3

完全な前方秘匿性

スタティックキーを実物の鍵のように考えてください。もし盗まれたり複製されてしまったら、その鍵でロックされたあらゆる通信にアクセスできてしまいます。 翻ってエフェメラルキーはモバイルアプリによって特定の交換向けに生成される、数字のようなものです。 もし数字が盗まれても、その1つの交換をロック解除するのに使われるだけです。 他のすべての交換はまだ保護されています。 このperfect forward secrecy(完全な前方秘匿性)こそがエフェメラルキーが最強である所以なのです。

Google、Facebook、Mozilla、その他のテクノロジー企業のリーダーたちは、ユーザー向けの優れたセキュリティを提供するために暗号化用エフェメラルキーへの移行を発表しました。 Internet Engineering Task Force (IETF)による最新TLSプロトコル規格TLS 1.3はエフェメラルキー交換を支持します。

主要な暗号をサポート

Inline DecryptionはすでにTLS 1.3で記載された多くの主要な暗号をサポートしており、新しい暗号も今後継続して追加される予定です。

サポートされる暗号   KX AU ENC MAC
TLS13-AES-256-GCM-SHA384 TLSv1.3 AES-128-GCM AEAD
TLS13-CHACHA20-POLY1305-SHA256 TLSv1.3 AES-128-GCM AEAD
TLS13-AES-128-GCM-SHA256 TLSv1.3 CHACHA20-POLY1305 AEAD
TLS13-AES-128-CCM-8-SHA256 TLSv1.3 AES-128-CCM AEAD
TLS13-AES-128-CCM-SHA256 TLSv1.3 AES-128-CCM-8 AEAD
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 ECDH RSA AESGCM(128) AEAD
ECDHE-ECDSA-AES128-SHA SSLv3 ECDH ECDSA AES(128) SHA1
ECDHE-RSA-AES256-SHA384 TLSv1.2 ECDH RSA AES(256) SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 ECDH ECDSA AES(256) SHA384
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 ECDH ECDSA AESGCM(128) AEAD
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 ECDH RSA AESGCM(128) AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 ECDH ECDSA AESGCM(128) AEAD
DHE-RSA-AES128-GCM-SHA256 TLSv1.2 DH RSA AESGCM(128) AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 DH RSA AESGCM(128) AEAD
ECDHE-RSA-AES128-SHA256 TLSv1.2 ECDH RSA AES(128) SHA256
ECDHE-ECDSA-AES128-SHA256 TLSv1.2 ECDH ECDSA AES(128) SHA256
ECDHE-RSA-AES128-SHA SSLv3 ECDH RSA AES(128) SHA1
DHE-RSA-AES256-SHA SSLv3 DH RSA AES(256) SHA1
ECDHE-RSA-DES-CBC3-SHA SSLv3 ECDH RSA 3DES(168) SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 ECDH ECDSA 3DES(168) SHA1
AES128-GCM-SHA256 TLSv1.2 RSA RSA AESGCM(128) AEAD
AES256-GCM-SHA384 TLSv1.2 RSA RSA AESGCM(256) AEAD
AES128-SHA256 TLSv1.2 RSA RSA AESGCM(128) SHA256
AES256-SHA256 TLSv1.2 RSA RSA AES(256) SHA256
AES128-SHA SSLv3 RSA RSA AES(128) SHA1
AES256-SHA SSLv3 RSA RSA AES(256) SHA1
ECDHE-RSA-AES256-SHA SSLv3 ECDH RSA AES(256) SHA1
ECDHE-ECDSA-AES256-SHA SSLv3 ECDH ECDSA AES(256) SHA1
DHE-RSA-AES128-SHA256 TLSv1.2 DH RSA AES(128) SHA256
DHE-RSA-AES128-SHA SSLv3 DH RSA AES(128) SHA1
DHE-RSA-AES256-SHA256 TLSv1.2 DH RSA AES(256) SHA256
ECDHE-ECDSA-CHACHA20-POLY1305 TLSv1.2 ECDH ECDSA CHACHA20/POLY1305(256) AEAD
ECDHE-RSA-CHACHA20-POLY1305 TLSv1.2 ECDH RSA CHACHA20/POLY1305(256) AEAD
DHE-RSA-CHACHA20-POLY1305 TLSv1.2 DH RSA CHACHA20/POLY1305(256) AEAD
CAMELLIA128-SHA256 TLSv1.2 RSA RSA CAMELLIA(128) SHA256
CAMELLIA256-SHA256 TLSv1.2 RSA RSA CAMELLIA(256) SHA256
DHE-RSA-CAMELLIA128-SHA256 TLSv1.2 DH RSA CAMELLIA(128) SHA256
DHE-RSA-CAMELLIA256-SHA256 TLSv1.2 DH RSA CAMELLIA(256) SHA256

Inline Decryptionでインラインセキュリティを実現

Inline Decryptionはキーサイトのフェールセーフなセキュリティアーキテクチャーにシームレスに統合し、インライン展開を行います。 Inline Decryptionとキーサイトの脅威インテリジェンスゲートウェイ、ThreatARMOR™を組み合わせると、継続的なトラフィック調査およびほぼ即座に回復を確保するアクティブ-アクティブな高可用性構成で、悪質なインターネットプロトコル(IP)をブロック、暗号化トラフィックを処理、そしてネットワークを保護するさらに強靭なインラインアーキテクチャーを構築できます。

インライン・セキュリティ・アーキテクチャー

関連情報

ご要望、ご質問はございませんか。