セキュリティの現場から from バラクーダラボ (194) Googleの「HTTPS Everywhere」がWebアプリケーションセキュリティに与える影響

アプリケーションプロキシへのSSLオフロードは、すべての演算処理をプロキシ自体にオフロードすることが可能になります。

将来もセキュリティを実現できるHTTPS：PFS（Perfect Forward Secrecy）暗号化に対応していない環境では、もしも鍵が盗まれた場合、今日キャプチャされたHTTPSトラフィックスが、将来復号化されてしまう危険があります。PFSはこのような問題を未然に防ぐことができます。ただし、PFSを使用する環境では、IPS／IDSのようなスニッファデバイスをベースにしたセキュリティやスパンポートをベースにしたアプリケーションプロキシは、PFS通信を復号化できないので役に立ちません。

このように、サーバでセキュリティ侵害のスニッフィングを行う場合、HTTPはその効果を発揮できなくなります。検索順位の下落（「このサイトはマルウェアに感染しています」という警告メッセージ）は、ビジネスに壊滅的な影響を与えるおそれがあるので、十分な注意が必要です。

※本内容はBarracuda Product Blog 2014年9月3日What does Google’s “HTTPS Everywhere” mean for Web Application Securityを翻訳したものです

Neeraj Khandelwal

本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』10月7日付の記事の転載です。