Tate
お問い合わせ 資料請求
Column

TLSを復号しないフィルタリングとは?MITM型との違いと使いどころ

ネットワークの基礎 #TLS#SSLインスペクション#ドメイン制御

「HTTPSだと中身が見えないので、フィルタリングが効かないのでは?」——Webのほとんどが暗号化された現在、通信制御を検討する際の最初の疑問がこれです。答えとしての方式は大きく2つあります。**TLSを復号して中身を見る方式(MITM型・SSLインスペクション)**と、復号せずに接続先で制御する方式です。この記事では両者の仕組みと代償、選び方を整理します。

HTTPSの普及で何が見えなくなったか

かつてWebが平文(HTTP)中心だった頃は、経路上の機器がURL・送信内容まで読めました。現在はWebトラフィックの大半がTLSで暗号化され、経路上から通信の中身(ペイロード)は読めません

ただし「何も見えない」わけではありません。暗号化された通信でも、経路上からは次の情報は見えています。

  • L3/L4の情報:宛先IPアドレス・ポート・プロトコル
  • TLSハンドシェイク時の接続先サーバ名(SNI。詳しくはこちらの記事

「中身は見えないが、どこへ繋ごうとしているかは見える」——この前提が、2つの方式の分かれ道になります。

方式1: MITM型(TLS復号・SSLインスペクション)

MITM型は、経路上の機器がTLSを一度終端して復号し、中身を検査してから再暗号化して送り直す方式です。クライアントから見ると、本物のサーバではなく検査機器と暗号化通信をしている形になります(man-in-the-middle の構図を防御側が意図的に行うもの)。

復号するので、URLのパス・送信内容・ファイルまで検査でき、コンテンツ検査やDLPを本気でやるなら原理的にこの方式が必要です。一方で、相応の代償があります。

  • CA証明書の全端末配布 — 検査機器が発行する証明書を信頼させるため、社内CAの証明書を全端末に入れて回る必要があります。管理外の端末・IoT機器・ゲスト端末には配布できません
  • 証明書ピンニングとの衝突 — 特定の証明書しか受け付けないアプリ(モバイルアプリに多い)は、MITMを「攻撃」として正しく拒否し、通信が壊れます。除外リストの維持が恒常的な運用負荷になります
  • プライバシーと責任 — 従業員の通信の中身(場合によっては医療・金融などの機微情報)を復号して見ることになり、social な合意形成・規程の整備が必要です。復号した平文が検査機器に集まること自体も、新たな保護対象を生みます
  • 性能 — 全TLSセッションの復号・再暗号化は計算コストが大きく、機器の処理能力がボトルネックになりがちです

方式2: 復号しない方式 — 接続先(ドメイン)単位の制御

もう一つの選択肢が、TLSを復号せず、見えている情報——接続先ドメインとL3/L4の情報——だけで制御する方式です。TLSハンドシェイクに含まれるサーバ名(SNI)やHTTPのHostヘッダから「どこへ繋ごうとしているか」を判定し、ドメイン単位で許可・遮断します。

この方式の見える範囲は、正確に次のとおりです。

どこへ」繋ぐかは見える。「何を」送るかは見えない。

つまりこれは「通信内容の検査」ではなく「通信先の制御」です。その代わり、MITM型の代償をほぼ丸ごと回避できます。証明書配布が不要なので管理外端末が混在する回線にも置け、ピンニングを壊さず、通信の中身を経路上に集めません。

用途として相性がよいのは、「中身より行き先を絞りたい」場面です。例えば、持ち出しに使われやすいサービスへの到達を断つ、AIエージェントの外向き通信を許可リストで絞る、といった到達性の制御が目的の場合、復号は必須ではありません。

どちらを選ぶか — 判断軸

判断軸MITM型が向く復号しない方式が向く
目的中身の検査(マルウェア・DLP)行き先の制御(到達性・持ち出し先の限定)
端末全端末が管理下(証明書配布可能)管理外端末・機器が混在する
アプリブラウザ中心ピンニングするアプリ・機器が多い
運用体制除外リスト・証明書を維持できる運用を軽く保ちたい

どちらかが優れているという話ではなく、目的と運用体制で選ぶものです。両方を併用する(重要セグメントだけMITM、他はドメイン制御)構成も成立します。

正直な注意点

  • 復号しない方式は、許可した宛先への通信の中身は一切関知しません。許可済みの正規サービスへ機密を送る、という持ち出しは捕捉できません(持ち出し経路の整理はこちら
  • 制御の粒度はドメイン単位です。同一ドメイン内のパス単位(URL単位)の制御はできません
  • 判定の拠り所であるSNIにも限界があります。これは次の記事で扱います

まとめ

  • HTTPS主流化で経路上から中身は見えなくなったが、接続先は見えている
  • MITM型(SSLインスペクション)は中身まで検査できるが、証明書配布・ピンニング破壊・プライバシー・性能という代償を伴う
  • 復号しない方式は「どこへは見えるが何をは見えない」——通信先(ドメイン)の制御に特化する
  • 目的が「中身の検査」か「行き先の制御」かで選ぶ。併用もありうる

Tate(盾)はTLSを復号せず、接続先ドメイン単位で制御する方式を採っています。この方式の限界も含めた整理はよくある質問をご覧ください。

AIエージェントの外向き通信、見えていますか。

Tate(盾)は、回線に挟むだけで導入できる L2透過型ファイアウォール・アプライアンスです。現在、先行案内・お問い合わせを受け付けています。

資料請求・お問い合わせ AIガードレールを見る
関連記事