■ はじめに
社内ネットワークで開発していると、外部通信の挙動が自宅環境と違うことがあります。
その原因のひとつが SSLインスペクション です。
いきなり証明書の話に入るとややこしいので、まずは全体像から整理します。
■ 企業ネットワークの基本構造
多くの企業ネットワークは以下のような構成になっています。
[PC] → [プロキシ] → [インターネット]
ポイント
- PCは直接インターネットに接続しない
- 必ずプロキシを経由する
■ なぜプロキシを挟むのか?
主な目的はこの3つです。
① ログの取得
- 誰がどのサイトにアクセスしたかを記録
- 監査やトラブル対応に利用
② アクセス制御
- 危険なサイトのブロック
- 業務外サイトの制限
③ コンテンツ検査
- マルウェアのダウンロード防止
- 不審な通信の検知
■ HTTPS通信の前提
通常のHTTPS通信は以下のようになります。
[PC] ──(暗号化)──> [Webサイト]
通信内容は暗号化されているため、途中で中身を確認することはできません。
■ SSLインスペクションとは?
企業ネットワークでは、プロキシが通信の間に入り、内容を確認できるようにします。
[PC] → [プロキシ] → [Webサイト]
↑
通信内容を検査
イメージとしては以下のようになります。
通常のHTTPS通信
PC →(暗号)→ Webサイト
SSLインスペクションあり
PC →(暗号)→ プロキシ →(再暗号化)→ Webサイト
■ すべての通信が対象ではない
ここは重要なポイントです。
SSLインスペクションは、すべてのHTTPS通信に対して行われるわけではありません。
多くの場合、以下のような通信に限定されます。
- ダウンロードサイト
- ファイル共有サービス
- リスクの高いカテゴリのサイト
👉 「安全性の確認が必要な通信のみ対象になる」 というのが基本です。
■ アップロード通信は基本的に対象外になることが多い
もうひとつ実務的に重要なポイントです。
👉 アップロード通信は検査されない(または軽く扱われる)ケースが多い
理由はいくつかあります。
① パフォーマンス負荷
- ダウンロードは大容量になりやすい
- すべて検査するとプロキシの負荷が大きい
② 業務影響
- アップロードは業務処理(API通信など)で頻繁に発生
- ここを厳しく検査するとシステムが壊れやすい
③ リスクの違い
- ダウンロード → マルウェア侵入のリスクが高い
- アップロード → 比較的リスクが低いケースが多い
■ じゃあどうやって中身を見ているのか?
ここが本題ですが、仕組みとしては
👉 証明書を使って通信を一度終端している
という形になります。
このあたりは少し深い話になるので、次の記事で解説します。
■ 次回
👉 SSLインスペクションで何が起きているのか(証明書編)
- 証明書チェーン
- プロキシによる証明書の置き換え
- 「偽造」と呼ばれる仕組みの正体
■ まとめ
- 企業ネットワークはプロキシを経由する構造
- HTTPS通信でも内容を検査する仕組みがある
- ただし対象は一部の通信のみ
- 特にダウンロード通信が重点的に検査される