こちらをご覧ください。 PDFファイル(610KB/7P

ホワイトペーパー
セキュアで高速な SSL
Citrix NetScaler と Thales nShield による暗号化キーの保護と
SSL トラフィックの高速化
www.citrix.co.jp
ホワイトペーパー
セキュアで高速な SSL
クラウドベースのマルチテナントに対応した仮想サービスの利⽤が増加す
るに伴い、顧客は、NetScaler VPX/SDX のような、強化された SSL キー管
理機能を備えたマルチテナント対応のアプライアンスを利⽤することを望
んでいます。一⽅、Thales(タレス)社の nShield は、FIPS 140-2 Level 3
認定環境において膨大な数の SSL キーを管理します。シトリックスと
Thales 社の両ソリューションを組み合わせて、SSL トラフィックを最適化
し、クリティカルな暗号化キーをセキュアに管理することにより、IT イン
フラストラクチャーから機密データが漏えいするリスクを最⼩化できます。
企業による SSL 利⽤の拡⼤
セキュアソケットレイヤ(SSL)1とは、インターネット上でセキュアな通信を提供するために広く
使⽤されている暗号化プロトコルです。SSL は実装が⽐較的容易であり幅広い業界からのサポート
を受けているため、機密データを保護する目的で、Web ベースの⼩売および銀⾏業務アプリケー
ションをはじめ、電子メール、インスタントメッセージング、VoIP などの各種ツールで広く使⽤さ
れています。
e コマースが成⻑を続け、政府や標準化団体がセキュリティとプライバシーに関するより多くの規
制要件を提示するようになった結果、現在では SSL トラフィックは、インターネットトラフィック
全体において大きなシェアを占めるようになりました。今日では、世界中の Web サイトの約半数が
SSL に対応しています。
SSL を使⽤しているインターネットトラフィックの割合
固定アクセス
モバイルアクセス
北米
3.8%
7.3%
ヨーロッパ
6.1%
6.2%
1.4%
6.6%
アジア太平洋
ピーク時のインターネットトラフィックの合計に対する割合。
出典:Sandvine Global Internet Phenomena Report, 1H 2014
SSL に対応している Web サイトの割合:45%
Alexa 社が選んだ上位 100 万社の Web サイトのうち、SSL/TLS に対応しているサイトの割合。
出典:Julien Vehent 氏のブログ記事(jve.linuxwall.info)
表 1:今や SSL トラフィックはインターネットトラフィック全体において大きなシェアを占めている
SSL はもはや、単なる「コンシューマ」向けのインターネットアプリケーションのプロトコルでは
なくなっています。今日では、SSL は企業データを保護するという重要な役割を演じるようになっ
ています。ますます多くの企業が、以下に示すアプリケーションやサービスでやり取りされるトラ
フィックを保護するために SSL を使⽤しています。
• SaaS(Software as a Service)アプリケーション
• クラウドベースのストレージおよびバックアップサービス
現在、多くの「SSL トラフィック」は、実際には TLS(Transport Layer Security)と呼ばれるより新しいプロ
トコルを使⽤しています。本⽂書内では、簡便のために「SSL/TLS」ではなく「SSL」という⽤語を使⽤するこ
とにします。
1
www.citrix.co.jp
2
ホワイトペーパー
セキュアで高速な SSL
• クラウドアプリケーションホスティングサービス
• パブリック、プライベート、ハイブリッドクラウドインフラストラクチャー上に配備される新し
い企業アプリケーション
また、ベンダーや企業も SSL を採⽤し始めています。これは、SSL が、増え続けるモバイルワー
カーやモバイルデバイス(ノート PC、スマートフォン、タブレット、ファブレットなど)に対する
トラフィックを暗号化するための標準的な⽅法となっているためです。例えば、シトリックスのア
プリケーション/デスクトップ仮想化ソリューションである XenApp®および XenDesktop®では、
SSL
接続を使⽤して、ユーザーがどこからでも、あらゆるデバイスを通じてセキュアなリモートアクセ
スを⾏えるようにしています。
このようなトレンドを理由として、SSL は、企業間および企業内のトラフィックを保護するために
ますます利⽤されるようになっています。最近の分析によれば、世界の主な地域では、企業ネット
ワーク上にあるアプリケーションの 30%以上が SSL を利⽤できることが確認されています。
SSL に対応しているアプリケーションの割合
南北アメリカおよびカナダ
32%
ヨーロッパ
30%
アジア太平洋
32%
企業のファイアウォール上で検出された全アプリケーションのうち SSL に対応している割合。
出典:Palo Alto Networks Application Usage and Threat Report, June 2014
表 2:世界の主な地域では、企業ネットワーク上にある全アプリケーションの約 30%が SSL に対応している
「暗号化を使⽤して効果的にセ
キュリティを確保するためには、
暗号化キーの適切な管理が不可
欠です。
(暗号化)キーは⾦庫の
番号に似ています。⾦庫の番号が
泥棒に知られてしまったら、最強
の⾦庫でさえも破られてしまい
ます。残念ながら、暗号化により
保護される情報のセキュリティ
は、暗号化キーの強度、キーに関
連付けられているメカニズムや
プロトコルの有効性、そしてキー
自体に対する保護に依存してい
ます。
」
出典:NIST Special Publication
800-57, Recommendation for
Key Management–Part 1:
General (Revision 3), July 2012
SSL に関する要件:セキュアなキー管理と⾼速な性能
SSL が業務アプリケーションでますます使⽤されるようになっているため、企業は SSL に関連す
るセキュリティ上の問題および性能上の問題の両⽅に対処する必要が出てきました。
SSL トラフィックを使⽤して知的財産、財務情報、顧客や従業員の個人データ、およびその他の機
密性の高い情報をやり取りする場合、セキュリティが重要な問題となります。
SSL 暗号化キーの管理は、多くの組織が⾒過ごしている重要なセキュリティ上の問題です。米国標
準技術局(NIST)の Special Publication 800-57 には、
「
(暗号化)キーは⾦庫の番号に似ています。
⾦庫の番号が泥棒に知られてしまったら、最強の⾦庫でさえも破られてしまいます」という記述が
あります。
キー管理は、直接的な攻撃からキーを保護する⽅法をカバーするだけでなく、キーのバックアップ
やシステム障害時や災害発生時のキーのリカバリーのような運⽤上の問題や、管理者によるキーへ
のアクセスを確実に制御および監視するようなコンプライアンス上の問題もカバーします。
SSL トラフィックの増加は、Web ベースのアプリケーションの体感性能に深刻な悪影響を及ぼす場
合があります。接続における両⽅の側のシステムがトラフィックの暗号化/復号化を⾏う必要がある
だけでなく、
「ハンドシェイク」を作成し証明書を認証するためにはかなりの量のコンピューティン
グリソースが必要となります2。これらのアクティビティは、
ブラウザクライアント、
Web サーバー、
ネットワークの速度を低下させる原因となる場合があります。
例えば、エンドユーザーがある Web サイトを表示した場合、ブラウザクライアントは対応する Web サーバー
に対する TCP ソケットを作成し、セキュアなセッション要求を発⾏します。Web サーバーが証明書を戻すと、
ブラウザクライアントはその証明書の認証を⾏った後、キーを生成し、そのキーを同 Web サーバーに送信しま
す。Web サーバーはそのキーを使⽤して当該ページを暗号化し、対応するコンテンツをブラウザクライアント
に送信します。続いて、ブラウザは受け取ったコンテンツを復号化します。当該ページの各オブジェクト(画像
やスクリプトを含む)に関して、このような手順が繰り返し実⾏されることになります。
2
www.citrix.co.jp
3
ホワイトペーパー
セキュアで高速な SSL
SSL トラフィックが増加し、SSL トラフィックを通じてミッションクリティカルなアプリケーショ
ンでより多くの機密情報がやり取りされるようになった場合、組織は、ハードウェアやネットワー
ク帯域幅に関する大規模な新規投資を⾏うことなしに、いかにして暗号化キーを保護し性能を維持
することができるのでしょうか?
Thales nShield Connect と Citrix NetScaler®を組み合わせて動作させることで、暗号化キーのセキュ
リティを強化すると同時に、SSL 処理のオフローディングと高速化を実現できます。このソリュー
ションには、Thales nShield Connect のハードウェアセキュリティモジュール(HSM)を、Citrix
NetScaler アプリケーションデリバリーコントローラー(ADC)に統合することが含まれています。
この統合ソリューションの概要を図 1 に示します。以下のセクションでは、この図に示されている
各コンポーネントについて説明します。
図 1:Thales nShield Connect と Citrix NetScaler を組み合わせて動作させることで、セキュアなキー管理を提
供すると同時に、SSL 処理のオフローディングと高速化を実現できる
FIPS 140-2 Level 3 認定
⾦融機関、医療機関、政府機関、
およびその他の規制対象となる
組織でも利⽤できるように、
FIPS 140-2 Level 3 認定を取得し
ています。
Thales nShield Connect によるセキュアなキー管理
Thales e-Security 社の nShield Connect は、高性能のネットワーク接続型のハードウェアセキュリ
ティモジュール(HSM)であり、これを使⽤して暗号化キーを管理することで、IT インフラストラ
クチャーから機密データが漏えいするリスクを最⼩化できます。
キー管理には次のような機能が含まれます。
• キーの生成:ランダムなキーを生成します。
• キーの登録:キーをユーザー、システム、アプリケーションに関連付けます。
• キーの保存:侵⼊される可能性のある他のシステムからキーが隔離されていることを保証します。
• キーの配布:必要な場合に、キーを素早く提供します。
• キーのバックアップとリカバリー:ローカルなシステム障害や、データセンターの火災やハリ
ケーンのような災害が発生した場合でも、キーが利⽤できることを保証します。
www.citrix.co.jp
4
ホワイトペーパー
セキュアで高速な SSL
• キーのローテート、取り消し、消去:完全な確実性をもってキーの置き換えや消去が⾏われるこ
とを保証します。
nShield Connect は、これらの機能を高度なセキュリティ、性能、運⽤効率性と共に実⾏します。
nShield Connect は、暗号化プロセスと暗号化キーを隔離して、アプリケーションやサーバーに侵⼊
された場合でもそれらにアクセスできないようにする専⽤アプライアンスです。
nShield Connect が提供するセキュリティ関係の機能には以下のものがあります。
• カスタム構築された筐体を含む高度にセキュアなハードウェアシステムにより物理的な攻撃を
防ぐほか、改ざん対応メカニズム(カバーが開かれた場合や物理的なプロービングが検出された
場合に暗号化キーや重要なセキュリティパラメータを消去するメカニズム)を備えています。
• 潜在的な攻撃を検出するために、筐体の整合性、電源、温度など各種の環境条件をモニタリング
します。
• ID ベースの認証メカニズムにより、ユーザーのアクションを記録し監査が⾏えるようにします。
• 権限を厳格に分散することにより、単一の個人がキーやシステム機能への過剰なアクセス権を持
たないようにします。
「最終的な暗号化ソリューショ
ンには 2 つの部分から構成され
ます。1 つは暗号化されたデータ
そのものであり、もう 1 つは暗号
化および復号化処理を制御する
キーです。したがって、キーの制
御と保守は、企業の暗号化戦略に
おける最も重要な部分となりま
す。暗号化の手法とアルゴリズム
は標準化されており良く理解さ
れていますが、キー管理は組織ご
とにユニークなものとなります。
これが企業による暗号化がト
リッキーとなる点です。またこれ
は、キー管理がデータ保護にとっ
て重要なカギとなる理由でもあ
ります」
John Kindervag 氏
Forrester Research 社のアナリ
スト、彼の調査報告書である
「Killing Data」より引⽤
nShield Connect に含まれている性能や運⽤に関する利点としては次のものがあります。
• 秘密鍵の保護と管理、および RSA オフローディング操作の高速化が⾏えます。
• 専⽤のハードウェアやバックアップ HSM にキーをアーカイブする必要をなくすようなバック
アップ手法を提供します。
• 複数のユニットを結合することにより、負荷分散、回復⼒、フェイルオーバーを実現できます。
• 自動化されたデータセンターでのリモート操作やバックアップをサポートするため、中央のス
タッフがローカルな支援を必要とせずにキーをグローバルに管理できます。
これらの機能を組み合わせることで、キーに対する最大限の保護を提供できるほか、性能の改善や
運⽤コストの削減を実現できます。
Citrix NetScaler を使⽤した SSL 処理のオフローディングと⾼速化
NetScaler は、モバイルアプリケーションや Web アプリケーションに対応した、世界で最も先進的
なアプリケーションデリバリーコントローラー(ADC)です。NetScaler は、SSL 処理のオフロー
ディングおよび高速化や、その他のトラフィックの高速化に役⽴つ機能を提供します。
NetScaler の主な機能には次のものがあります。
• サーバーおよびデータベースの負荷分散により、複数のサーバーへとトラフィックを分散するこ
とで、最適なリソース利⽤を達成するほか、スループットの最大化や応答時間の最⼩化を実現し
ます。
• SSL のオフローディングと高速化により、SSL を使⽤した Web トラフィックで必要となる暗号
化や認証に関する処理を高速化します。
• SSL VPN により、Web サーバーのリソースを使⽤することなく、SSL VPN 接続のターミネー
ションを実施します。
• TCP オフローディングにより、複数のクライアントからの複数の要求をバックエンドサーバー
宛ての単一の TCP ソケットへと統合することでトラフィックを削減します。
• 圧縮により、Web トラフィックの量を削減します。
• アプリケーションファイアウォールにより、ネットワークトラフィックをスキャンし、DDoS 攻
撃および広範な種類の Web ベースの脅威に対する防御を⾏います。
www.citrix.co.jp
5
ホワイトペーパー
セキュアで高速な SSL
• クラスタリングにより、高速でシンプルなスケーラビリティを提供します。
Web サーバー/
アプリケーションサーバー
例:MS Exchange、
SAP、MS Lync など
可⽤性
負荷分散
ヘルスモニタリング
性能
キャッシング
圧縮
性能
SSL オフローディ
ング
接続のプーリング
セキュリティ
SSL VPN
Web アプリファイ
アウォール
図 2:NetScaler は、Web ベースのアプリケーションの可⽤性、性能、セキュリティを強化する各種の主要機能
を提供する
Citrix NetScaler は、高性能のハードウェアアプライアンスとしても、柔軟なソフトウェアベースの
仮想アプライアンスとしても利⽤できるほか、マルチテナント環境で複数の NetScaler インスタン
スをサポートする高度な仮想化機能を備えたアプライアンスとしても利⽤できます。
結論:企業での利⽤には SSL の適切な管理が必要
SaaS アプリケーション、クラウドホスティング、モバイルコンピューティングにより、企業におけ
るビジネス問題としての SSL トラフィックの重要性が増加しています。以下の理由により、企業は
もはや、SSL セキュリティを軽視することは許されません。
• より多くの機密情報が SSL トラフィックを通じてやり取りされているため、不完全なキー管理
の実施が原因でデータの漏えいが引き起こされた場合、漏えいの通知、罰⾦の支払い、知的財産
の盗難などにより多額の費⽤が発生することになります。
• より多くのミッションクリティカルなアプリケーションが SSL を使⽤して配備されているため、
従業員の生産性や顧客満⾜度に直接影響するような性能上の問題が発生する可能性があります。
Thales e-Security とシトリックスは、nShield Connect と NetScaler の統合ソリューションを提供
することにより、企業がこれらの課題に対処できるようにします。このソリューションは、暗号化
キーに関する非常に高度なセキュリティを提供するほか、キー管理の簡素化と中央での一元化を実
現します。また、このソリューションを使うと、Web サーバーからキー管理タスクや SSL ターミ
ネーションをオフローディングすることにより、アプリケーションの性能を改善できます。
技術的な仕様については www.citrix.com および www.thales-esecurity.com を参照してください。
www.citrix.co.jp
6
ホワイトペーパー
セキュアで高速な SSL
Citrix について
Citrix Systems, Inc.(NASDAQ:CTXS)は、新しい快適なワークスタイルを実現する仮想化、ネットワーキング、クラウドイン
フラストラクチャのリーディングカンパニーです。多くの企業および組織の IT 部門やサービスプロバイダーが、仮想化、モバ
イル化されたワークスペースの構築、管理、セキュリティ確保のために、シトリックスのソリューションを利⽤しています。仮
想化、モバイル化されたワークスペースでは、デバイス、ユーザー、利⽤するネットワークやクラウドを問わず、アプリケーショ
ン、デスクトップ、データ、サービスをシームレスに利⽤することができます。シトリックスは今年、創設 25 周年を迎えます
が、今後も革新に取り組み、モバイルワークスタイルにより IT をさらにシンプルにするとともに生産性の向上に貢献していき
ます。シトリックスの 2013 年度の年間売上高は 29 億ドルで、その製品は世界中の 33 万以上の企業や組織において、1 億人以
上の人々に利⽤されています。シトリックスの詳細については www.citrix.co.jp をご覧ください。
Thales について
Thales e-Security は、⾦融サービス、テクノロジー、製造、政府機関など様々な業種向けにデータ暗号化ソリューションとサー
バーセキュリティソリューションを提供する世界規模のトッププロバイダです。企業や政府の保有する機密情報の保護において
40 年の実績を持つ Thales のソリューションは、エネルギーおよび航空宇宙業界のトップ 5 企業中 4 社および NATO 加盟国中
22 ヶ国で採⽤されており、世界中で⾏われている支払決済処理の 80%以上を保護するために使⽤されています。Thales eSecurity は、オーストラリア、フランス、香港、ノルウェー、米国、英国を中心に、世界各国でビジネス展開しています。詳細
については www.thales-esecurity.com をご覧ください。
©2014 Citrix Systems, Inc. All rights reserved. Citrix、XenApp、XenDesktop および NetScaler は、Citrix Systems, Inc.またはそ
の子会社の登録商標であり、米国の特許商標局およびその他の国に登録されています。その他の商標や登録商標はそれぞれの各
社が所有権を有するものです。
E1114/PDF
J0215/PDF
www.citrix.co.jp
7