第16回 CatoSASEクラウドの検証#9 TLSインスペクション

  • セキュリティ
  • Cato

最終更新⽇:

掲載⽇:

# はじめに

ICTインフラソリューション部の小玉です。前回は、Catoのレポート機能について説明しました。
今回はTLSインスペクション機能について説明します。
現在、インターネット通信の大半はHTTPSを利用しており、通信は暗号化されています。暗号化によって、ユーザーのセキュリティは確保されますが、通信内容が暗号化されるため、従来のセキュリティ対策では検出できないマルウェアなどの悪意のあるコンテンツが紛れ込んでいてもそれを検出することが不可能となってしまいます。Cato Cloudでは、TLSインスペクション機能を利用して、HTTPS通信を復号化し、トラフィックの中身をチェックすることで、悪意のあるコンテンツが含まれていないかを検査し、必要に応じて制御することができます。
また、従来のUTM装置では暗号化通信の検査を行う場合、装置のパフォーマンス低下が課題となっていました。しかし、Cato Cloudではクラウドネイティブなソフトウェアアーキテクチャによって、従来型のUTM装置のサイジングやスケーリングは不要となり、ハードウェアの機能や性能の制限を受けることはありません。

# TLSインスペクションの設定方法

TLSインスペクションの機能を有効にするには、「セキュリティ」メニューから「TLSインスペクション」画面へアクセスします。

security-vol0016_1-1.png

1-1	TLSインスペクション画面へのアクセス

TLSインスペクション画面に遷移したら、画面右上のスライダーを有効にし、「保存」をクリックします。

security-vol0016_1-2.png

1-2	TLSインスペクションの有効化

これで、TLSインスペクション機能が有効になりました。デフォルトのルールではすべての通信を検査するようになっています。
クライアント端末にはCatoが発行する証明書をインストールする必要がありますが、Cato VPN Clientをインストールすると証明書が自動的にインストールされます。

証明書は以下のURLからダウンロードが可能です。
https://clientdownload.catonetworks.com/

# TLSインスペクションの動作確認

今回はクライアント端末としてWindows PCからCato VPN Clientを使用して動作を確認してみましょう。
Cato Cloudを経由しない場合、弊社webサイトにアクセスすると以下のようにAmazon(AWS)によって発行された証明書であることが分かります。

security-vol0016_2-1.png

2-1	CatoCloudを経由しない場合

Cato Cloudを経由する場合は以下のように発行元がCato Networksになっており、TLSインスペクションが機能していることが確認できます。

security-vol0016_2-2.png

2-2	CatoCloudを経由する場合

では、動作確認としてeicarテストファイルをダウンロードしてみます。eicarテストファイルはアンチウイルス等のセキュリティシステムの動作をテストするために使用される、安全なテストファイルです。実際のウイルスやマルウェアの挙動を模倣しているので、シグネチャベースのアンチウイルスは、eicarファイルを検出し、通常のウイルスと同様に処理します。

TLSインスペクション無効の場合は、HTTPSのダウンロードはマルウェアを検出できずに以下のように何事もなくダウンロードができてしまいます。

security-vol0016_2-3.png

2-3	TLSインスペクション無効化時の挙動

しかし、TLSインスペクションが有効な場合、通信は復号化され、中身が検査されるので以下のようにアンチマルウェアによってブロックされました。

security-vol0016_2-4.png

2-4	TLSインスペクション有効化時の挙動

# TLSインスペクションのルール&除外設定

TLSインスペクションを有効にした際に、一部のwebサイトやアプリケーションが意図せず動作しなくなることがあります。そのような場合は、新規のルールを作成することで除外(バイパス)設定を行うことができます。

security-vol0016_3-1.png

3-1	TLSインスペクションルール設定例

作成したルールは上から順番に通信が合致するか照合され、すべてのルールに合致しない場合はデフォルトのルールによって通信が自動的に検査されます。ルールは送信元やデバイスのOS、IPアドレス、アプリケーションなど、細かい条件で設定することが可能となっており、柔軟な制御ができます。※一部、暗黙的にバイパスされるOSやアプリケーションがあります

# おわりに

今回はCatoのTLSインスペクション機能について説明しました。TLSインスペクションは、マルウェアの侵入やデータ漏洩を防ぎ、セキュリティポリシーの遵守やネットワークのセキュリティを向上させるために非常に重要です。Catoのその他のセキュリティ機能や検出機能を最大限に活用するためにもTLSインスペクションを有効化することをおすすめします。