Windowsでは、高度なTLSトラフィック検査は、WindowsネイティブのTLS通信チャネルを使用するトラフィックのみをサポートします (セキュアチャネルを参照)。たとえば、IIS、Microsoft Exchange、またはリモートデスクトッププロトコル (RDP) によって生成されるトラフィックです。

Linuxでは、高度なTLSトラフィック検査は、一般的なWebアプリケーションであるNGINX、Apache HTTP Server、およびHAProxyによるトラフィックのみをサポートします。

高度なTLSトラフィック監視でサポートされていないTLSトラフィック、または他のオペレーティングシステムのTLSトラフィックを検査する必要がある場合は、代わりに従来のSSL監視を設定できます。

SSLインスペクションを設定する（レガシー）

保護対象のコンピュータの1つ以上のインタフェースで、特定の資格情報とポートのペアに対してSSLインスペクションを設定できます。

資格情報は、PKCS#12またはPEM形式でインポートできます。資格情報ファイルには、秘密鍵が含まれている必要があります。Windowsコンピュータでは、CryptoAPIを直接使用できます。

Workload Securityコンソールで、設定するコンピュータを選択し、[ Details ] をクリックして Computer エディタを開きます。
Computer エディタの左側のペインで、[ 侵入防御 ]→[詳細設定]→[SSL設定の表示 ] をクリックし、[ SSL設定の表示] をクリックして、 [SSLコンピュータの設定 ] を開きます。
[ New ] をクリックして、[ SSL Configuration ] ウィザードを開きます。
このコンピュータで設定を適用するインタフェースを指定します。
- このコンピュータのすべてのインタフェースに適用するには、[すべてのインタフェース] を選択します。
- 特定のインタフェースに適用するには、[特定のインタフェース] を選択します。
Port または Ports List を選択してリストを選択し、 Nextをクリックします。
[IP選択] 画面で、[すべてのIP] を選択するか、SSLインスペクションを実行する [特定のIP] を指定し、[次へ] をクリックします。
[ Credentials ] 画面で、認証情報の入力方法を選択します。
- 今すぐ資格情報をアップロードします
- 資格情報はコンピュータにあります
  
  資格情報ファイルには、秘密鍵が含まれている必要があります。
今すぐ資格情報をアップロードするオプションを選択する場合、資格情報の種類、格納場所、および必要に応じてパスフレーズを入力します。
資格情報がコンピュータにある場合は、[資格情報の詳細] を入力します。
- コンピュータに格納されているPEMまたはPKCS#12資格情報形式を使用する場合は、その資格情報ファイルの格納場所と必要に応じてファイルのパスフレーズを入力します。
- Windows CryptoAPI資格情報を使用する場合は、コンピュータで見つかった資格情報のリストから対象の資格情報を選択します。
この設定の名前と説明を入力します。
概要を確認し、 SSL設定 ウィザードを閉じます。設定操作の概要を確認し、[終了] をクリックしてウィザードを閉じます。

ポート設定を変更する

エージェント対応ポートのフィルタリングを適切な侵入防御を実行していることを保証するために、コンピュータのポート設定を変更します。加えた変更は、Agentコンピュータ上の特定のアプリケーションの種類 (Webサーバ共通など) に適用されます。この変更は、他のコンピュータ上のアプリケーションの種類には影響しません。

コンピュータの [ 詳細 ] 画面で [ 侵入防御ルール ] に移動し、このコンピュータに適用されている侵入防御ルールのリストを表示します。
ルールを アプリケーションの種類 で並べ替え、Web Server Commonアプリケーションの種類を見つけます。これらの変更は、類似のアプリケーションタイプに対しても実行できます。
アプリケーションの種類のルールを右クリックし、[アプリケーションの種類プロパティ] をクリックします。
継承された HTTP ポートリストを上書きして、SSL設定のセットアップ時に定義したポートとポート80を追加します。ポートはカンマ区切りで入力します。たとえば、SSL設定でポート9090を使用する場合は、「9090, 80」と入力します。
パフォーマンスを向上させるために、[設定] タブで、[継承] と [Webサーバからの応答を監視] の選択を解除します。
[OK] をクリックして画面を閉じます。

トラフィックがPerfect Forward Secrecy (PFS)で暗号化されている場合に侵入防御を使用する

Perfect Forward Secrecy (PFS) を使用することで、仮に後でサーバの秘密鍵が侵害された場合に復号できない通信チャネルを作成できます。Perfect Forward Secrecyの目的はセッション終了後の復号化を防ぐことであるため、侵入防御モジュールがSSLインスペクションでトラフィックを確認することも防止します。

侵入防御モジュールは、高度なTLSトラフィック監視を使用して、追加の設定を行わなくても、PFS暗号で暗号化されたトラフィックを分析できます。

代わりにSSLインスペクションでPFS暗号を使用するには、次の手順を実行します。

インターネットとロードバランサまたはリバースプロキシ間のTLSトラフィックにPerfect Forward Secrecyを使用します。
ロードバランサまたはリバースプロキシでPerfect Forward Secrecyセッションを終了します。
ロードバランサまたはリバースプロキシとWebサーバまたはアプリケーションサーバの間のトラフィックにPFS以外の暗号化スイート (SSLインスペクションは次の暗号化スイートをサポートを参照) を使用します。 TLSセッションを復号化して検査します。
Perfect Forward Secrecyを使用しないアプリケーションサーバポートのトラフィックをWebサーバに制限します。

Diffie-Hellman暗号化の特別な注意事項

次の説明は、高度なTLSトラフィック検査の代わりにSSL検査を使用する場合にのみ適用されます。

Perfect Forward Secrecyは、Diffie-Hellman鍵交換アルゴリズムに依存しています。一部のWebサーバでは、Diffie-Hellmanが初期設定になっている場合があります。これは、SSL検査が正しく機能しないことを意味します。したがって、サーバの設定ファイルを確認し、Webサーバとロードバランサまたはリバースプロキシ間のTLSトラフィックに対してDiffie-Hellman暗号を無効にすることが重要です。たとえば、ApacheサーバでDiffie-Hellmanを無効にするには、次のコマンドを実行します。

サーバの設定ファイルを開きます。 Webサーバ設定ファイルのファイル名と場所は、オペレーティングシステムとディストリビューションによって異なります。たとえば、パスは次のようになります。
- RHEL4での初期インストールの場合: /etc/httpd/conf.d/ssl.conf
- Red Hat Linux上のApache 2.2.2の場合: /apache2/conf/extra/httpd-ssl.conf
設定ファイルで、「SSLCipherSuite」変数を探します。
この文字列が表示されていない場合は、これらのフィールドに !DH:!EDH:!ADH: を追加します (「!」は、Apacheにこの暗号を使用しないように指示します)。

たとえば、Apache設定ファイルの暗号スイートを次のように編集できます。

SSLCipherSuite !DH:!EDH:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

詳細については、 SSLCipherSuiteディレクティブのApacheドキュメントを参照してください。

サポートされている暗号化スイート

16進値	OpenSSL名	IANA名	NSS名	高度なTLS検査	SSLインスペクション（レガシー）
0x00,0x04	RC4-MD5	TLS_RSA_WITH_RC4_128_MD5	SSL_RSA_WITH_RC4_128_MD5	✔	✔
0x00,0x05	RC4-SHA	TLS_RSA_WITH_RC4_128_SHA	SSL_RSA_WITH_RC4_128_SHA	✔	✔
0x00,0x09	DES-CBC-SHA	TLS_RSA_WITH_DES_CBC_SHA	SSL_RSA_WITH_DES_CBC_SHA	✔	✔
0x00,0x0A	DES-CBC3-SHA	TLS_RSA_WITH_3DES_EDE_CBC_SHA	SSL_RSA_WITH_3DES_EDE_CBC_SHA	✔	✔
0x00,0x2F	AES128-SHA	TLS_RSA_WITH_AES_128_CBC_SHA	TLS_RSA_WITH_AES_128_CBC_SHA	✔	✔
0x00,0x33	DHE-RSA-AES128-SHA	TLS_DHE_RSA_WITH_AES_128_CBC_SHA	TLS_DHE_RSA_WITH_AES_128_CBC_SHA	✔
0x00,0x35	AES256-SHA	TLS_RSA_WITH_AES_256_CBC_SHA	TLS_RSA_WITH_AES_256_CBC_SHA	✔	✔
0x00,0x39	DHE-RSA-AES256-SHA	TLS_DHE_RSA_WITH_AES_256_CBC_SHA	TLS_DHE_RSA_WITH_AES_256_CBC_SHA	✔
0x00,0x3C	AES128-SHA256	TLS_RSA_WITH_AES_128_CBC_SHA256	TLS_RSA_WITH_AES_128_CBC_SHA256	✔	✔
0x00,0x3D	AES256-SHA256	TLS_RSA_WITH_AES_256_CBC_SHA256	TLS_RSA_WITH_AES_256_CBC_SHA256	✔	✔
0x00,0x41	CAMELLIA128-SHA	TLS_RSA_WITH_CAMELLIA_128_CBC_SHA	TLS_RSA_WITH_CAMELLIA_128_CBC_SHA	✔	✔
0x00,0x67	DHE-RSA-AES128-SHA256	TLS_DHE_RSA_WITH_AES_128_CBC_SHA256	TLS_DHE_RSA_WITH_AES_128_CBC_SHA256	✔
0x00,0x6b	DHE-RSA-AES256-SHA256	TLS_DHE_RSA_WITH_AES_256_CBC_SHA256	TLS_DHE_RSA_WITH_AES_256_CBC_SHA256	✔
0x00,0x84	CAMELLIA256-SHA	TLS_RSA_WITH_CAMELLIA_256_CBC_SHA	TLS_RSA_WITH_CAMELLIA_256_CBC_SHA	✔	✔
0x00,0x9c	AES128-GCM-SHA256	TLS_RSA_WITH_AES_128_GCM_SHA256	TLS_RSA_WITH_AES_128_GCM_SHA256	✔	✔
0x00,0x9d	AES256-GCM-SHA384	TLS_RSA_WITH_AES_256_GCM_SHA384	TLS_RSA_WITH_AES_256_GCM_SHA384	✔	✔
0x00,0x9e	DHE-RSA-AES128-GCM-SHA256	TLS_DHE_RSA_WITH_AES_128_GCM_SHA256	TLS_DHE_RSA_WITH_AES_128_GCM_SHA256	✔
0x00,0x9f	DHE-RSA-AES256-GCM-SHA384	TLS_DHE_RSA_WITH_AES_256_GCM_SHA384	TLS_DHE_RSA_WITH_AES_256_GCM_SHA384	✔
0x00,0xBA	CAMELLIA128-SHA256	TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256	TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256	✔	✔
0x00,0xC0	CAMELLIA256-SHA256	TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256	TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256	✔	✔
0xc0,0x09	ECDHE-ECDSA-AES128-SHA	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA	✔
0xC0,0x0A	ECDHE-ECDSA-AES256-SHA	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA	✔
0xc0,0x13	ECDHE-RSA-AES128-SHA	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	✔
0xc0,0x14	ECDHE-RSA-AES256-SHA	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA	✔
0xc0,0x23	ECDHE-ECDSA-AES128-SHA256	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256	✔
0xc0,0x24	ECDHE-ECDSA-AES256-SHA384	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384	✔
0xc0,0x27	ECDHE-RSA-AES128-SHA256	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256	✔
0xc0,0x28	ECDHE-RSA-AES256-SHA384	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	✔
0xc0,0x2b	ECDHE-ECDSA-AES128-GCM-SHA256	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256	✔
0xc0,0x2c	ECDHE-ECDSA-AES256-GCM-SHA384	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384	✔
0xc0,0x2f	ECDHE-RSA-AES128-GCM-SHA256	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	✔
0xc0,0x30	ECDHE-RSA-AES256-GCM-SHA384	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	✔
0xC0,0x9C	AES128-CCM	TLS_RSA_WITH_AES_128_CCM	TLS_RSA_WITH_AES_128_CCM	✔	✔
0xC0,0x9D	AES256-CCM	TLS_RSA_WITH_AES_256_CCM	TLS_RSA_WITH_AES_256_CCM	✔	✔
0xC0,0xA0	AES128-CCM8	TLS_RSA_WITH_AES_128_CCM_8	TLS_RSA_WITH_AES_128_CCM_8	✔	✔
0xC0,0xA1	AES256-CCM8	TLS_RSA_WITH_AES_256_CCM_8	TLS_RSA_WITH_AES_256_CCM_8	✔	✔
0xcc,0xa8	ECDHE-RSA-CHACHA20-POLY1305	TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256	TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256	✔
0xcc,0xa9	ECDHE-ECDSA-CHACHA20-POLY1305	TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256	TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256	✔
0xcc,0xaa	DHE-RSA-CHACHA20-POLY1305	TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256	TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256	✔

サポートされているプロトコル

次のプロトコルがサポートされます。

TLS 1.0
TLS 1.1
TLS 1.2

SSL 3.0検査はサポートされておらず、初期設定でブロックされています。