SSLインスペクション【SSL inspection】TLSインスペクション

概要

ファイアウォールやUTMなどはインターネットと内部ネットワークとの境界で内外を通過する通信を監視し、攻撃者やマルウェアによるものと疑われる不審な通信を遮断するが、現代のWeb通信のほとんどはSSLや後継のTLSで暗号化されており、中継機器で通信内容をチェックすることができない。

SSLインスペクションでは、内部ネットワークのWebクライアントが外部のWebサーバにSSL/TLS通信する際、中継機器がクライアントに代わって代理でWebサーバへ接続し、コンテンツを取り寄せる。クライアントへは中継機器が自らがWebサーバとなって取り寄せたコンテンツを再送信する。中継機器がある種のプロキシとして動作する。

中継機器は外部のWebサーバとのSSL/TLS通信ではクライアントとして振る舞うため、暗号化を解除してコンテンツの内容に危険がないか調べることができる。内部のWebクライアントに対しては中継機器が自らのSSLサーバ証明書でSSL/TLS通信を行い、コンテンツを再度暗号化して送信する。

Webブラウザから見ると、表示されているWebページを送ってきたWebサーバと、SSL/TLS接続先のデジタル証明書が一致しないため、警告が表示され閲覧できなくなったり、Webサーバの証明書を検証することができなくなる場合がある。また、中継機器が乗っ取られてしまうと中間者攻撃が行われたのと同じ状態になってしまうため慎重に運用する必要がある。