【前編】新機能「SNI識別機能」とは?
~PureFlowがSaaSアプリケーションを識別・制御できる理由~
本コラムでは以下について解説します。
- PureFlowではSaaS識別機能強化の一環として、SNI識別機能に対応
- SNI(Server Name Indication)の概要
PureFlowのSNI識別機能詳細は後編で解説します。
近年、ビジネス活動でのクラウド利用は一般化し、その重要性もさらに高まっています。PureFlowではクラウドサービス通信(IaaS、SaaS等)やWeb会議ツールの品質確保に有効な「ドメインフィルタ機能」オプションがありますが、新モデルAS1ではドメインフィルタ機能強化として「SNI検知機能」が追加となりました。本コラムではこちらの「SNI検知機能」について、2回に分けて解説したいと思います。
前編の今回は、SNI(Server Name Indication)についてご説明します。
TLSとは?
「SNI検知機能」の解説に先立ち、TLSについて簡単に触れておきたいと思います。インターネットでのプライバシーとセキュリティは、今や私たちのオンライン生活にとって不可欠な要素です。「TLS(Transport Layer Security)」は、安全なアクセスを実現するための重要な基盤として、「安全な通信路を確立するプロトコル」として定義されています。
インターネット上でデータを暗号化し、第三者によるデータの盗み見を防ぐための標準的な手段です。TLSを利用することにより、クレジットカード情報やログイン情報といった機密性の高いデータを、安全にやり取りすることが可能になります。
SNI(Server Name Indication)とは?
続いて、SNIの機能について説明します。SNIは、クライアントが接続先のサーバーのホスト名(ドメイン名)を初めに通知することで、同じIPアドレスを共有する複数のドメインに対して、適切なSSL/TLS証明書をサーバーが提示できるようにするTLSの拡張機能です。
つまり、SNIは「仮想ホスティング」と呼ばれる技術と連携して、複数のウェブサイトが単一のサーバーで運用される際に、それぞれのサイトに適切なセキュリティを保証する役割を果たしています。
SNIの必要性
では、なぜSNIが必要なのでしょうか。インターネットの初期段階では、1つのサーバーIPアドレスに対して1つのドメインしか設定できないという制約がありました。しかし、ウェブの成長と共にこの制約は非効率的でコストがかかるものとなり、仮想ホスティングが利用されるようになりました。
その後、TLSが導入されると、同じIPアドレスで複数ドメインを運用する仮想ホスティングの場合、サーバーが適切な証明書をクライアントに提示するには、どのドメインの証明書を使用すべきかを事前に知る必要があるため、SNIが開発されました。
SNIの動作
SNIの動作は非常にシンプルです。クライアントがサーバーに接続を試みる際、TLSハンドシェイクのプロセスで「ClientHello」というメッセージを送信します。このメッセージの中に、クライアントが接続しようとしているホスト名(ドメイン名)が含まれており、サーバーはこれを受け取ることで、どのSSL/TLS証明書を使用して応答するかを決定します。
今回は、安全なWeb基盤を実現するTLSの重要な拡張であるSNIについてご説明しました。後編ではPureFlowでSaaS制御・可視化を実現できる「SNI識別機能」概要について解説します。
お問い合わせはこちらから:https://itps.scsk.jp/pureflow/inquiry