HTTP暗号化通信のパラドックス

安心が情報漏えいの穴になる不思議

海老澤 仁
株式会社バーテックスリンク

2004/12/18



 HTTPSサイトの問題

 代表的なHTTPSサイトの問題として、「宅ふぁいる便」を悪用した例を説明します。宅ふぁいる便そのものは非常に便利な正規のサービスですので、誤解しないようにしてください。

宅ふぁいる便
http://www.filesend.to/

 宅ふぁいる便では、まず送り先相手のメールアドレスを記入し、送りたいファイルを添付(HTTPSサイトにファイルをアップロード)します。すると、相手のメールアドレスにファイルが送られたことが通知されます。その通知メールには、添付されたファイルをダウンロードするための専用URLがリンクとして記載されています。受取人はそのURLへアクセスして、ファイルのダウンロードを行います。

 さて、一般企業にいるごく普通のユーザーの視点に立ってみましょう。企業同士の取引で発生するやりとりの場合、提案書や見積もりなどのファイルを会社から与えられたメールに添付して送っています。しかし、添付ファイルのサイズが大きいと、メールサーバの設定によりメールでの送受信ができないケースがあります。

 そういった場合の代替策として、宅ふぁいる便のようなHTTPSサイトを使用するケースが増えています。しかし、このサービスを悪用することで、前述のトンネリングツール同様に、機密情報に分類されるファイルを社外に簡単に持ち出すことができてしまいます。

 限界が見える現状の技術的な対処方法

 メールを使った情報漏えいに対しては、メールフィルターの導入で機密情報ファイルの流出を防止することが可能です。宅ふぁいる便のようなサービスについては、URLフィルターを導入して当該サイトへのアクセスを禁止することで情報漏えいを防ぐことができます。

 しかし、メールフィルターやURLフィルターを導入した環境下でもHTTPS通信を使ってファイルを持ち出すことができます。URLフィルターなどの製品はデータベースに登録されていないサイト、例えば自宅に立てたHTTPSサーバや海外にある無名なHTTPSサイトなどへのアクセスが簡単にできてしまいます。アクセスさえできれば、あとは企業内からファイルを簡単に持ち出すことができるということです。

 最近では、HTTPでPOSTを禁止する(=ファイル持ち出し不可にする)という対策を取っている企業も多いようです。残念ながら、HTTPS通信ではPOSTの禁止は適用されないため、機密情報ファイルを簡単に持ち出すことができます。

 あるいは、HTTPSプロトコルをポートごと閉じてしまう対策方法もあります。ただし、ブラウジングできるサイトのうち、数〜数十パーセントがHTTPSサイトとなっている現状を考慮すると、HTTPSを止めてしまうのは、通常のブラウジングであれば行けるはずのサイトにすら行けなくなり、Webサイトでの情報のやりとりが全くできなくなるという不都合を招くことになります。ネットワーク管理者への風当たりが厳しくなることは当然ながら、利便性を著しく損なうセキュリティ対策となるため、得策でないことは明白です。

 決め手はHTTPSのコンテンツフィルター

 HTTPS通信による情報漏えい対策については、メールフィルターとURLフィルターに加えて、HTTPSに対応したコンテンツフィルターを導入することで問題を解決できます。HTTPSに対応したコンテンツフィルターでは、暗号化されたコンテンツを平文に戻し、中身をチェックします。

 まず、メールフィルター(メールフィルターはコンテンツフィルター機能を持っています)を使用して、持ち出してはいけない機密情報ファイルを止めるという規制を行います。次に、URLフィルターを導入し基本的なアクセスに関する許可や不許可を一般ユーザーへ適用します。

 そして、コンテンツフィルターを導入し、HTTP経由で持ち出されるファイルの検査やログの取得を行い、持ち出してはいけないファイルだけ(例えば個人情報)をブロックします。また、HTTPSサイトへのアクセスもURLフィルターとコンテンツフィルターを組み合わせることで対応します。

 なお、HTTPSのログを全部取得することは、暗号化されて流れているコンテンツの中にクレジットカード情報などのプライバシー情報が多いため問題となり得ます。このためセキュリティインシデントのみのログを取ることが推奨されます。

以上、情報漏えいとHTTPS通信の矛盾がご理解いただけたでしょうか。企業のセキュリティとHTTPSの機密性・利便性が両立しなくなっている現状は明らかでもあり、ネットワーク管理者の方々の奮闘が無駄にならないよう、情報漏えい対策の1つとして参考になればと思います。

2/2


Index
安心が情報漏えいの穴になる不思議
  Page1
HTTPSとは
企業のネットワーク管理者の現状
HTTPSを使ったトンネリングツールの問題
Page2
HTTPSサイトの問題
限界が見える現状の技術的な対処方法
決め手はHTTPSのコンテンツフィルター

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間