SSLニーズ急増のワケは？ 注目されるADC事情：IT導入完全ガイド（3/5 ページ）

[酒井洋和，てんとまる社]

モビリティ領域

　モビリティ領域に関しては、モバイルデバイスから快適にアプリケーションを利用させたいニーズだけでなく、ワークスタイル変革に関連してVDI環境を構築し、どこからでも自分のデスクトップが利用できる環境を整えたいというニーズが挙げられる。

　モバイルデバイスの業務利用という観点では、例えばOffice365のようなSaaSを利用する場合に、自社内でポリシーコントロールしたいという認証ニーズに対してADCが有効に機能する。具体的には、Webサービス間でのシングルサインオンを可能にするSAMLプロトコルを利用してSaaSにアクセスさせ、自社データセンタに設置されたADCにリダイレクトさせる。その時点でポリシーに準拠した環境かどうかをチェックさせることできちんとしたポリシーコントロールが可能になる。

　また、モバイル利用に関するユーザー体験を快適にするべく、ADC側でモバイルアプリの性能を高める機能が実装されている。具体的には、Webブラウザ上でダウンロードさせるオブジェクトを並列処理できるようにしたりHTMLのソース上にあるスペースやコメント文など不要なモノを取り除いて最適化した形でダウンロードさせたりなど、待ち時間を最大限短くするための機能が備わっているものもある。

図3 NetScalerのFEO（Front End Optimization）（出典：シトリックス・システムズ・ジャパン）

　もう一方のVDIについては、VMware Horizonで採用されている「PCoverIP」やCitrix XenDesktopで採用されている「ICA」といったVDIプロトコルにADCがプロキシとして機能することで、より快適なモビリティ環境を構築することが可能だ。

セキュリティ領域

　ADCにおけるセキュリティニーズは、基本的にはDDoS対策やWebアプリケーションを守るWAF機能だ。Webサーバに高負荷を与えてサービス停止に追い込むDDoS攻撃を未然に防ぐため、ADCがWebサーバのフロントに立ってそのトラフィックを監視し、その予兆を捉えてWebサーバを保護することができるようになる。

　WAFは、脆弱（ぜいじゃく）性を悪用した攻撃からWebアプリケーションを保護する仕組みで、Webサイトとユーザー間の通信の中身を検査し、ある検出パターンに基づいてアラートを出したり通信を遮断したりできる。

　実際にはシグネチャベースでチェックするブラックリスト方式と正しい通信のみを通過させるホワイトリスト方式があり、これらを混在させたハイブリッド方式もある。ブラックリスト方式ではゼロデイアタックへの対処が難しいが、ホワイトリスト方式では正しい通信かどうかを判別するための設定が非常に難しい。製品の中には自動学習機能を備えたものもあり、ある一定期間の通信を学習することでルールを自動設定できる製品もある。

図4 自動学習可能なホワイトリスト（出典：シトリックス・システムズ・ジャパン）

　ちなみに、SSLでのトラフィックは中身が見えないために詳細なチェックが難しくなるが、SSLの暗号を復号して検査できる状態にした上で、外部のセキュリティアプライアンスにデータを受け渡し、問題なければあらためて暗号化して送り出す機能を持った製品もある。ADCそのもののセキュリティ機能ではないものの、セキュリティ製品におけるSSL処理における課題を解決してくれる便利な機能だ。

図5 復号可能なSSLインサイト機能（出典：A10ネットワークス株式会社）