安全な暗号化通信の環境を整える

今日のビジネスは、多くの企業がインターネットに大きく依存しています。Webサイトやメールサーバーなど、暗号化通信は必須といえるでしょう。利用者やデータを安全に保つには、脆弱性がない安全な環境でサービスを提供する必要があります。

ライブラリである「OpenSSL」をはじめ、暗号化通信を行う環境は、動作確認を行った上で常に最新の状態にアップデートを行い、脆弱な通信を行わないよう対策が求められます。今後に関しても、新たな脆弱性が判明する可能性は否定できず、引き続き注意が必要となります。

またリスクが存在するのは、「プロトコル」や「ライブラリ」だけではありません。いくら最新の状態に保っても、管理が甘ければ元の木阿弥です。証明書の秘密鍵が盗まれてしまえば、盗聴や改ざんされる恐れがあります。不正アクセスを受けない堅牢なサーバー運用が求められます。

もちろん、サーバーだけでなくクライアント側も脆弱な通信を行わないよう、最新の環境にアップデートしておく必要があるのは、いうまでもありません。

覚えておきたいSSL/TLS通信における別のリスク

これまで「SSL/TLS」の暗号化通信について、Webサイトを運営するなど企業が「サービス提供者」の立場になることを前提に説明してきましたが、暗号化通信が抱える別の問題にも触れておきましょう。

従業員など組織内部の関係者が、外部のサービスと接続する場合に「暗号化通信」を行うことが増えています。特に最近は、多くのWebサイト（Webサービス）が暗号化通信を行っています。

暗号化通信は、通信する当事者間で安全なデータのやりとりを実現しますが、当然ながら第三者はどのような通信が行われているかわかりません。

しかし、組織内部と外部で行われる通信が必ずしも好ましい通信とは限りません。通信内容が把握できない状態は危うい状態ともいえます。例えば、従業員が無許可で社内の個人情報や機密情報などを外部のクラウドサービスへアップロードしていれば、情報漏えいにつながる恐れもあります。

企業としては、組織内部と外部でどのような通信が行われているか把握し、不正な通信を防ぐといった対策を講じる必要があります。

具体的な対策としては、次世代ファイアウォールやプロキシーなどを用いて、通信内容を可視化します。可視化すれば、必要に応じて接続を制限したり、通信内容の解析、ログの保存など対策を講じることができます。

ただし、「通信の秘密」を侵害しないよう注意を払う必要があります。従業員だからといって断りもなく通信を監視するとコンプライアンス上の問題となることがあります。事前にデータの可視化を行っていることを通知するなど配慮が必要です。また事前に伝えることで抑止力にもつながります。

SSL/TLSは普及している技術であるだけに、さまざまなビジネスシーンで活用されています。今後も、新たな脆弱性が発見される可能性もあります。その際には、自社でどのような用途に使われているかを確認したうえで、被害が発生しないように迅速に対応する必要があります。