このガイドでは、SSLインスペクションを使用するメリットと、URLフィルタリングをセキュリティ ポスチャに追加するようにZscaler Internet Access (ZIA)を構成するために必要なステップについて説明します。

インターネット経由で移動するデータの多くは機密性があり、センシティブです。インターネット経由で転送されるこのデータを保護するために、ブラウザーとクラウドアプリでは暗号化が使用されます。

SSL暗号化は、インターネット上のロケーション間の転送中にこのデータを不正アクセスから保護します。ただし、悪意あるトラフィックはSSL暗号化で隠れることもできます。SSLインスペクションは、転送中のSSLで暗号化されたデータを復号化し、悪意あるトラフィックがないかチェックします。

Zscaler ThreatLabZは、2017年と比較して、2018年にSSLチャネル経由で配信されるフィッシング攻撃が400%以上増加していることを観察しました。SSLトラフィックの復号化は、組織のセキュリティの重要な側面であり、ほとんどの企業はできるだけ多くのSSLトラフィックを検査する必要があります。

詳細については、SSLインスペクションについてを参照してください。

SSLインスペクションの展開の価値

SSLインスペクションを使用すると、次のようなメリットがあります。

• 専用エンジンではスキャンできないトラフィックの可視性。
• 隠されたマルウェアを発見し、ハッカーが過去の防御をこっそり盗むのを防ぐことによって、データ侵害を防ぎます。
• 従業員が意図的または偶発的に組織外に送信しているデータを特定し、それに従って応答します。
• 従業員が機密データを危険にさらさないようにすることで、規制コンプライアンス要件を満たします。
• 組織全体をセキュアに保つ多層防御戦略に対応します。

展開フェーズ

展開フェーズには、Zscalerソリューションの初期セット アップと、既存のネットワーク インフラストラクチャーへの統合が含まれます。展開フェーズの間、インフラストラクチャーのニーズを満たすようにZIA SSLインスペクションを構成します。以下のセクションでは、ZIA SSLインスペクションを展開するステップについて説明します。

展開手順

次のステップでは、ZIA SSLインスペクションを展開する方法について説明します。

1. 使用する証明書を決定します。デフォルトのZscaler中間証明書を使用する場合は、すべてのクライアントがZscalerルート証明書をインストールしていることを確認してください。Zscalerルート証明書のインストールに失敗すると、ブラウザーやアプリケーションから警告が表示されたり、トラフィックを適切に検査できなくなったりします。
2. Firefoxを使用している場合は、ルート証明書ストアを必ず更新してください。
3. [SSL展開のベストプラクティス]に従って、小規模から始めましょう。ユーザーとアプリケーションのサブセットについて、テストラボまたはスモールオフィスでSSLインスペクションを開始します。
4. ユーザーベースを拡大する際は、プライバシーに関する現地の法律で定められた適切な通信を発行してください。規制(個人の医療データや金融サービスなど)により、一部のトラフィックを検査することができません。ただし、業界とリスクによっては、一般的にスキップされるカテゴリーに検査を適用するように決定できます。
5. モバイルアプリケーションは証明書ピンニングを使用することが多いため、SSLインスペクションが正しく機能しないことに注意してください。転送中のデータを検査する代わりに、SaaSセキュリティ機能を活用して保存データを検査することを検討してください。
6. さまざまなタイプのトラフィック転送に関連するさまざまなシナリオに注意してください。SSLインスペクションを既知のロケーション、リモートユーザーまたはその両方に適用しますか。
7. リモート ユーザーはさまざまなタイプのトラフィック転送を利用することができますが、Zscaler Client Connectorを推奨します。
8. Webサイトとアプリケーションの小さなリストをテストし、検査するURLカテゴリー全体で続行します。

検討事項

以下の検討事項を精査してください。

• ユーザーのプライバシーに関する法律や契約に違反していないことを確認してください。
• SSLインスペクションの代わりに(またはそれと組み合わせて)保存データにSaaSセキュリティタイプのコントロールを活用することを検討してください。
• SSLインスペクションを展開する前に、重要なビジネスアプリケーションのリストを準備し、SSLバイパスリストに追加します。
• サーバのサブロケーションのNon_SSL_inspectionのロケーションを作成することを検討してください。

運用フェーズ

このセクションでは、現在の環境と統合されるときにZscalerソリューションを運用するために使用される一般的なプラクティスについて説明します。運用フェーズ中にZIA SSLインスペクションを監視および調整して、インフラストラクチャーのニーズを満たすことができます。

前提条件

SSLインスペクション操作については、以下の前提条件を満たします。

• すべてのクライアントが正しいストアに適切なルート証明書を持っていることを確認し、Webアプリケーションとそれに対応するデスクトップアプリケーションの動作が異なる可能性があることに注意してください(後者は証明書ピンニングを受けやすい傾向があります)。モバイルアプリについても同じことが言えます。
• ZIAサービスの展開のタイプによっては、Zscaler Client ConnectorのSSLインスペクションを構成する必要があります。
• 以下を含め、可能な限りコーナーケースをテストします。
  • 信頼できないサーバ証明書。
  • 復号化できないトラフィック。
• ビジネスクリティカルなアプリケーションが、前述のケースに依存していないことを確認します。

一般的なトラブルシューティング項目

次のリストでは、SSLインスペクションの展開に関連する一般的な問題について説明します。

• ブラウザー以外のアプリケーションでSSLエラーが発生する：Zscalerルート証明書がこれらのアプリケーションの適切なリポジトリにインストールされているかどうかを確認します。
• Androidでは、アプリやWebサイトの動作がiOSやデスクトップOSと異なります：特にSSL証明書を扱う際、各OSの動作が異なる場合があります。各OS内では、異なるブラウザーが異なる動作を見せる可能性があります。異なるプラットフォーム間で可能な限り一貫性を確保する：必要に応じて、特定のサイトのSSLインスペクションを無効にし、SaaSセキュリティタイプの保護に移行します。
• アプリが正しく動作していない。アプリが証明書ピンニングを使用しているかどうかを確認する多くの有名なアプリケーションはピンニングを使用しています。証明書ピンニングが設定されている場合は、カスタムURLカテゴリーを使用して、クラウドアプリケーションをSSLインスペクションから、または個々のドメインをSSLインスペクションから削除して、アプリケーションをSSLインスペクションから除外します。
• ZIA管理ポータルでSSLインスペクションを構成できません：SSLインスペクションの適切なライセンスを持っていること、および管理者アカウントに正しい権限とアクセス権があることを確認してください。
• 正当なサイトがブロックされている：Transport Layer Security(TLS)の最小バージョンに関して制限が厳しすぎるポリシーを構成しないようにしてください。
• 私の法務部門は、Zscalerによるデータの取り扱いを懸念しており、Webトランザクションのコンテンツ検査はメモリー内で行われ、ディスクに書き込まれることはありません。追加の詳細は、Zscalerアカウント チームを参照してください。
• 私は自分の中間証明書をZscalerノードにアップロードするつもりはありません：Zscalerはクラウド ハードウェア セキュリティ モジュール(HSM)の秘密キーをサポートしています。

展開と運用のチェックリスト

Zscalerは、ZIA SSLインスペクションの計画と実装に役立つSSLインスペクションの展開と運用チェックリストのダウンロードを推奨します。PDFのダウンロード

追加情報

SSLインスペクションの情報とトラブルシューティングの詳細については、ZscalerサポートポータルおよびZscaler Zenith Communityを参照してください。