SSL 通信可視化が必要な 2 つの理由と可視化後の課題～「ミスター A10ネットワークス」高木真吾氏に聞きたい話

　「災い転じて」ではないが、さまざまな講演やイベントがオンライン化され、配信され、かつ講演動画が積極的にアーカイブされ公開されるようになったのは、with コロナ時代の肯定的な側面のひとつかもしれない。

　以前はわざわざ都心まで足を運ぶ必要があった高品質なカンファレンスや講演が、全国どこからでもパソコンやスマホを通じて視聴することができる。大きな講演会場の中で挙手して行っていた質疑応答も、オンラインカンファレンスツールのチャット機能を用いてできるケースも増えた。

　日本を代表するセキュリティカンファレンスのひとつである Security Days が今春、「Security Days Spring 2021」として開催される。本稿では ScanNetSecurity 読者に特におすすめしたい講演を、5 つ厳選して紹介する。

　講演の概要と、なぜそれがおすすめなのかの理由を紹介しつつ、Security Days がコロナ禍の時代にあって、他のカンファレンスと決定的に異なる点についても後述したいと思う。

● 9 割を超えた HTTPS ページ

　「Security Days Spring 2021 講演 5 選」で最初に紹介するのは A10ネットワークス株式会社の「変化し続けるサイバー攻撃からユーザー、データ、インフラを守る、ニューノーマルのサイバーセキュリティ対策」だ。

　A10ネットワークス（エーテンネットワークス）は、ハイパースケールのロードバランサーで知られるネットワークの雄だが、これまでセキュリティ系のカンファレンスではあまり見かけない顔だった。その A10ネットワークスが Security Days に登壇するのはもちろん理由がある。

　ネットワークとセキュリティが重なる領域、すなわち、DDoS 対策と SSL 可視化の課題解決である。近年 A10ネットワークスは、そのキャリアグレード製品を支えてきた独自 OS「 ACOS（エイコス）」の開発で培った技術を、積極的にセキュリティに振り向けている。

　「 SSL の可視化は、かなり前から課題として認識されてきた」と語るのは、A10ネットワークスビジネス開発本部本部長エバンジェリスト高木真吾氏である。

　将来 SSL 通信が全通信の半分を超えると騒がれたのも今は昔。HTTPS リクエストの割合は、デスクトップで 77.8 ％、Chrome ブラウザで読み込まれた Web ページの 93 ％がいまや HTTPS ページだ。

　では SSL 通信の何がセキュリティ上の問題か。高木氏によれば大きくふたつあるという。

● SSL 通信の 2 つの課題

　一つめは感染したマルウェアが C&C サーバと通信する際も SSL 通信を用いるため、リスクを看過してしまうこと。そして二つめは、いざインシデントが発生した後に、通信が暗号化されていると、事故原因究明や終息宣言のために必要なフォレンジック調査もままならなくなることだ。

　認識はしていたが手をつけていなかったこの課題に対して、情報システム部門やセキュリティ管理者が目を覚ますきっかけとなったのが、内閣サイバーセキュリティセンター（ NISC ）によって出された「政府機関向け情報セキュリティ統一基準（平成 30 年度版）」だった。そこには「情報システム運用時の監視等の運用管理機能要件（監視するデータが暗号化されている場合は、必要に応じて復号すること）」とハッキリ明記されていた。

　あくまで「政府機関向け」基準だが、やがて金融業界や自治体へ、そして民間企業へと広がっていく流れは予想される。

　そもそも SSL 通信の可視化を行うことだけなら、実はそれほど難しい話ではない。ファイアウォールや UTM に普通に実装されている機能ですらある。

　しかしひとたびこの機能をオンにすれば、高い負荷を与えてしまう場合もあり、また、複数のセキュリティ機器で多層防御を行っている場合、セキュリティ機器 A に入った SSL 通信を復号し、終端で再度暗号化するというプロセスを、セキュリティ機器 A , B, C で何度もくり返す非効率が発生する。

　そこで、信頼と実績のある A10ネットワークスの出番ということになる。同社は SSL 通信可視化市場の実に 72.3 ％を占める（2020 年度デロイトトーマツミック経済研究所株式会社調べ）。

●ネットワーク機器の最も重要な機能「他社製品との連携」

　パフォーマンスを落とさずに SSL 通信の復号を行えたとしても、それは入口に過ぎない。その先に待ち受けるきわめて実務的な課題のひとつが、ロードバランサーと、さまざまなセキュリティ機器との連携だ。

　A10ネットワークスは、主要セキュリティ製品の他にも、トレンドマイクロ株式会社やデジタルアーツ株式会社、アルプスシステムインテグレーション株式会社など国産セキュリティ製品との連携にも優れる。これは A10ネットワークスが日本市場にとりわけ力を注いでいることの現れだ。

　分野の魅力を体現する人物を「ミスターベースボール」などと尊敬をこめて呼ぶことがある。たくさんの取材やインタビューを行っていると、セキュリティ製品でもそういった人物に出会うことがある。A10ネットワークスエヴァンジェリストの高木氏もそんな人物の一人だ。日本法人が立ち上げられたときからメンバーとして参画し、製品の長所も課題も、もっともよく知る人物だ。

　ネットワークと重なるセキュリティ領域は、マルウェアや APT、インテリジェンスなどのサイバーセキュリティの課題とは異なる分野である。話を聞くなら、信頼と実績のネットワーク企業であること、そしてその製品をとことん知る人物ならなお良し。これが本講演を「Security Days Spring 2021 講演 5 選」に選んだ理由である。

　是非底抜けに明るい「ミスター A10ネットワークス」に、SSL 通信可視化や、今回のもうひとつの講演テーマである DDoS 対策に関する疑問・難問を、質疑応答でぶつけてみて欲しい。変な言い方になるが、下手をするとあなたのその要望が、次の製品バージョンアップで実装されかねない。なぜなら A10ネットワークスは市場やユーザの需要ドリブンの開発体制でよく知られているからだ。

●3月4日(木) 12:15-12:55 PM
「変化し続けるサイバー攻撃からユーザー、データ、インフラを守る、ニューノーマルのサイバーセキュリティ対策」
A10ネットワークス株式会社ビジネス開発本部本部長エバンジェリスト
高木真吾氏

　Security Days に関して最後に付け加えるのは、開催事務局が、バーチャルだけではなくフィジカルでの開催を行い続ける点だ。理由は複数あるだろうが、人と生で出会って話をすることがカンファレンスの本質であるという考え方が理由のひとつだろう。もちろん充分な感染対策を行ったうえで。

　Security Days Spring 2021 は、大阪・名古屋・福岡・東京で開催され、東京開催は 3 月 3 日 (水) から 3 月 5 日 (金) までの 3 日間である。

　完全バーチャル開催されたイベントでは、事前に撮影され流麗に編集されたビデオが流される公演もあり（質が向上していることは疑いないとしても）一抹の寂しさを感じるのも事実である。しかしSecurity Days は、思い立ったら、会場である東京駅の目の前の KITTE に直接行くことができる。

　決して現地でのフィジカル参加を強引に推奨するわけではないが、もしテレワークの合間の出社日に重なる日があるなら、予定を調整してみるのはいかがだろうか。