SSLインスペクションとプライバシー
私の会社がプロキシであるWebsenseに基づいて「SSL検査」と呼ばれるものをテストしていることを知っています。これについて詳しく説明することはできませんが、これは原則として、たとえばWebバンクのパスワードやセキュリティPINなど、すべてのSSLトラフィックが実際にWebSenseによって読み取られる可能性があることを意味しますか?
はい。その構成により、WebSenseはデータを復号化および分析できます。 SSL接続を検査する機能を備えたプロキシとしてWebSenseが行うことは次のとおりです。
証明書の検証により、以下が保証されます
- 証明書の有効期限はありません
- 証明書は取り消されていません
- 証明書の所有者とURLのIDが同じです
- 証明書は信頼できるCAによって発行されます
ネットワークセキュリティ管理者には、クライアントではなく許可するサイトを決定する権限があります。
- 証明書の信頼性に関する決定は、セキュリティ管理者のみが行う必要があります。
- ルールに対する例外は、セキュリティ管理者のみが作成および許可できます。
- クライアントワークステーションのユーザーは、例外を要求することはできますが、例外を発生させることはできません。
送信されるデータの制御
- データを復号化してマルウェアを検査できます。
はい、SSLインスペクションは基本的に中間者攻撃(インフラストラクチャの所有者によって行われるため、実際には攻撃ではありません)であり、会社のマシンまたは交差点から発生するすべてのトラフィックを読み取ることができるようにすることを目的としていますSSLが使用されている場合でも、会社のネットワーク.
したがって、会社のセキュリティマシンに読み取らせたくないものは、会社の発行マシンから、または会社のネットワークを介して送信しないでください。
(どちらの場合も、これは適切な一般規則です。)
留意すべきその他のポイント:
- 合理的な会社はあなたの個人データを気にしません。
- 倫理的なセキュリティチームは、個人データを表示しないようにある程度の努力をします。
- 賢明な会社は、彼らが何をし、何をしないかを文書化するでしょう-何が発表されたかを見てください。
- このようなシステムには、実際の攻撃者が監視システムを危険にさらす小さなリスクがゼロではありません。
- 企業のセキュリティチームがコンピュータの使用を監視する方法は他にもあります。たとえば、キーロガーを配備できます。
組織が堅牢なデータ損失防止システムを実装する必要がある場合、すべてを確認する必要があります。SSL検査を実装していても、悪意があるとは限りません。もちろん、従業員にとってそれほど楽しいものではないため、透明性が非常に重要です。
会社がプロキシを使用して従業員のssl通信を検査すると、ターゲット(銀行など)の証明書を偽造して、従業員が銀行と通信していると従業員が考えているが、実際にはプロキシとプロキシと通信していると見なします。ターンは銀行とやり取りします。プロキシは、従業員とプロキシのルートに独自のルート証明書を使用します。
会社のコンピューターから銀行口座にログインしようとすると、次のことが起こります。
- ログイン要求では、会社の証明書を使用してメッセージを暗号化し、プロキシに送信します。
- プロキシは、復号化と検査の後に(これは証明書がIT部門によって生成され、復号化に必要な秘密鍵を自然に持っているため、これを実行できます)、メッセージを「再パッケージ」して銀行に送信します。
- (2)の間、プロキシは銀行のログインページに戻るので、銀行に直接接続していると思います。ロックアイコンが表示される場合がありますが、これは偽物です。これはプロキシの証明書によって生成されます。
- 検査フェーズでは、会社はログイン詳細を平文で読み取ることができます。
ただし、安全な方法で銀行に接続できます。
会社のネットワークで自分のコンピューターを使用している場合、銀行のログインページが表示されたら、表示されている実際の証明書を確認し(通常はロックアイコンをクリックして)、その指紋と別の指紋を比較します。通信チャネル(たとえば、事前に自宅で必要な指紋を収集し、紙に書き留めます)。プロキシは、指紋を偽装することはできません。
会社のコンピュータを使用している場合、指紋を比較したいかもしれませんが、これはあなたのマシンではないことに注意してください-会社はあらゆる種類のスニッフィングソフトウェア/ロガーをインストールしている可能性があります。完全に制御できないハードウェア+ソフトウェアで非常に機密性の高いことを行わないでください(ただし、OSまたはデバイスドライバーの信頼の問題は、別の議論の大きなテーマです...)