全てのWebページにSSL暗号化を施す「常時SSL」の普及、SSL暗号化の強度向上――。安全性向上に向けたこうした動きは、サーバ処理負荷の急激な増大を招く。有力な解決策を示す。
今や、われわれの生活にとってなくてはならない社会インフラとなったインターネット。だがそれと同時に、インターネットにあまたあるWebサイトをターゲットにしたセキュリティの脅威も、年々高度化/巧妙化しつつある。例えば、スマートフォンの普及でより身近になった公衆無線LANについても、通信パケットがキャプチャーされて個人情報が盗み取られてしまう「中間者攻撃」などの脅威がある。こうした脅威からユーザーを守るべく、近年のWebサイトでは、認証ページや決済ページだけでなく、全てのWebページにSSL暗号化を施す、いわゆる「常時SSL」を採用するケースが増えてきている。
加えて、高度化する攻撃手法に対抗するため、SSL暗号化の強度自体も高まっている。少し前までは鍵長1024ビットの暗号化方式が標準だったのが、現在では2048ビットが主流になりつつある。さらに高い強度が求められる場合には、鍵長4096ビットの暗号化が用いられるケースも出てきている。実際、米国立標準技術研究所(NIST)では、旧式の1024ビット暗号の使用を2010年末で廃止しており、主要なWebブラウザは既に4096ビット暗号に対応している。
こうした動きは、Webサイトのユーザーにとってはありがたい限りである。だがWebサーバを運用する側にとっては、大きな課題が突き付けられることになる。というのも、SSL暗号化の強度が高くなればなるほど、暗号化/復号の処理負荷も高くなるのだ。一般に、鍵長を1024ビットから2048ビットへ増やすと、CPUの使用率は4〜7倍増えるといわれている。さらに、全てのWebページにわたってこの暗号化/復号処理をするとなると、Webサーバに掛かる負荷は膨大になってしまう。
こうした課題を解決するソリューションとして近年導入が進みつつあるのが、アプリケーションデリバリーコントローラー(ADC)にSSLの暗号化/復号処理を肩代わりさせる「SSLオフロード」という方式だ。中でも注目すべきADC製品が、A10ネットワークスが提供する「AXシリーズ」である。
AXシリーズは、独自開発の64ビットOS「ACOS」と専用ハードウェアを組み合わせることで、鍵長の長い暗号化方式でも、極めて高速に暗号化/復号処理を実行できるのが特徴だ。上位機種には、SSLオフロードを高速化するための専用ハードウェア「SSLアクセラレーションカード」を追加できる。例えば、最上位モデルのAX 5630では、2048ビット暗号化の場合のパフォーマンス劣化は1024ビットと比較しても2%未満だ。2048ビット暗号化の処理を1024ビットの場合とほぼ同じパフォーマンスで実行できるADCは、業界でも珍しい。また、同じ暗号化方式でもより多くのSSL接続を高速にさばくことができるため、常時SSLの実現や将来的な4096ビット暗号化への移行にも余裕を持って対処可能だ。
さらには、AXシリーズを使うと、暗号化された通信を一度復号し、インターネットからマルウェアが侵入していないかどうか、LANから機密情報が漏えいしていないかどうかを任意のセキュリティ製品で精査した上で再び暗号化して流すという、いわゆる「SSLインターセプト」も簡単に実現できる。
A10ネットワークスでは、こうしたAXシリーズの機能や特徴をホワイトペーパーにまとめて公開している。Webサーバの運営に携わる方には、ぜひ一読をお勧めしたい。
Webセキュリティ対策の代表的な手段であるSSL暗号化。暗号強度の向上が進む一方、暗号化/復号処理に伴うサーバへの負荷も高まりつつある。有効な解決策となるのが、SSL暗号化の処理機能を備えたADC製品だ。
| ホワイトペーパーのダウンロードページへ (TechTargetジャパン) |
提供:A10ネットワークス株式会社
アイティメディア営業企画/制作:TechTarget編集部
ITmediaはアイティメディア株式会社の登録商標です。
AXシリーズは、2048ビット暗号化でも1024ビット暗号化と同等の速度で処理できる