総 論 セキュアソケットレイヤ(SSL)は Web にとって 不 可 欠 な 技 術 であり 続 けています 衰 えることのない e コマーストラフィック 量 の 増 加 と インターネットを 通 じた 個 人 情 報 の 送 信 量 の 継 続 的 な 増 加 により SSL はもはや 実 装 す

2048bit SSLの 実 装 に 関 する ベストプラクティス www.citrix.co.jp

総 論 セキュアソケットレイヤ(SSL)は Web にとって 不 可 欠 な 技 術 であり 続 けています 衰 えることのない e コマーストラフィック 量 の 増 加 と インターネットを 通 じた 個 人 情 報 の 送 信 量 の 継 続 的 な 増 加 により SSL はもはや 実 装 することが 望 ましい 機 能 ではな く 完 全 な 必 須 機 能 となっています 情 報 を 保 護 するための 要 件 は 誰 でも 簡 単 に 使 えるハッキングツール(Firesheep など)の 世 界 的 な 普 及 により 更 に 強 化 されていま す これにより アプリケーションのオーナーは SSL Everywhere (すべてに SSL) や Always-On SSL ( 常 に SSL) のような 方 針 を 採 用 し 機 密 性 の 高 いアプリケー ションのコンポーネント(ログインページなど)だけでなく アプリケーション 全 体 を 暗 号 化 することを 検 討 する 必 要 があります また 単 に SSL を 使 用 することに 加 えて 暗 号 の 強 度 も 重 要 です 実 際 セキュリ ティコミュニティは SSL を 使 用 するあらゆるアプリケーションは これまでの 事 実 上 の 標 準 である 1024bit の SSL 鍵 長 から 2048bit (またはそれ 以 上 )の 鍵 長 へと 移 行 す る 必 要 があるとのコンセンサスに 達 しています 1024bit から 2048bit へと 鍵 長 を 倍 増 することにより 暗 号 強 度 は 飛 躍 的 に 向 上 します 一 方 インフラストラクチャの 観 点 からは 2048bit 鍵 長 は 1024bit 鍵 長 の 5~30 倍 の 処 理 能 力 が 必 要 となります 図 1:2048bit 鍵 長 がもたらす 影 響 SSL の 利 用 は 広 く 浸 透 しつ つある 業 界 は 2048bit SSL へと 移 行 しつつある 2048bit SSL を 採 用 すると 性 能 が 5 分 の 1 に 低 下 する つまり アプリケーションの 性 能 を 維 持 するためには 企 業 は 自 社 のアプリケーション デリバリコントローラ(ADC)および SSL インフラストラクチャをアップグレードする 必 要 性 が 生 じます 具 体 的 には 2048bit 鍵 長 用 に 性 能 が 最 適 化 された マルチテナント 環 境 においてテナントごとに 専 用 の SSL 処 理 リソースを 提 供 できる Citrix NetScaler のような ADC を 選 択 することを 検 討 する 必 要 があります これらの 要 因 を きちんと 検 討 せずに ADC を 選 択 すると エンドユーザーエクスペリエンスの 务 化 を 引 き 起 こすことになりかねません また その 結 果 として 2048bit 鍵 長 が 性 能 に 与 え る 影 響 を 解 決 するために インフラストラクチャのアップグレードを 行 うことになり 予 期 せぬ 高 額 なコストをかけることになりかねません 2

図 2:2048bitSSL 向 けに 最 適 化 された ADC を 選 択 すること SSL Everywhere(Always-On SSL) 企 業 は 顧 客 への 連 絡 や 顧 客 をつなぎとめるために ますます Web を 多 用 するよう になっています 同 時 に Firesheep のような 誰 にでも 使 えるハッキングツールがオン ライン 操 作 に 対 して 重 大 な 脅 威 となっています これらの 脅 威 と 戦 うために 組 織 は SSL Everywhere を 方 針 として 採 用 する 必 要 があります もはやログインページや チェックアウトページを 暗 号 化 するだけでは 十 分 ではありません 企 業 は 自 分 自 身 および 自 社 の 顧 客 をセキュリティ 上 の 脅 威 からより 適 切 に 保 護 するために SSL の 使 用 をすべてのユーザーセッションをカバーするまでに 拡 張 する 必 要 があります 例 え ば Google Gmail は 現 時 点 で 完 全 に SSL で 暗 号 化 されています ま た Facebook は SSL を 使 ってあらゆるページを 暗 号 化 できるオプションをユーザーに 提 供 しています より 多 くの SSL 保 護 アプリケーションが 実 務 環 境 で 利 用 されるようになり 各 アプリ ケーションでの SSL フットプリントが 拡 張 されると 典 型 的 な 企 業 の 総 合 的 な SSL 処 理 要 件 は データセンターインフラストラクチャのその 他 の 側 面 よりも 非 常 に 高 速 に 増 加 します セキュリティの 脅 威 は 増 して いる より 広 範 な SSL 採 用 を 強 制 すること 2048bit SSL 用 に 最 適 化 さ れた ADC が 必 要 3

図 3:SSL 保 護 アプリケーションおよび SSL がカバーする 分 野 の 増 加 より 強 力 な SSL の 登 場 Web アプリケーションのトラフィックを 単 に 暗 号 化 するだけでは 道 半 ばです 暗 号 自 体 の 強 度 が 攻 撃 に 耐 えうるほど 十 分 に 高 くない 場 合 その 暗 号 は 意 味 をなしませ ん 漏 洩 した 秘 密 鍵 を 使 ってハッカーが 行 うこと 秘 密 鍵 の 漏 洩 がビジネスに 与 える 影 響 は 極 めて 深 刻 なものとなります 何 者 かが 1024bit 長 の 鍵 解 読 に 成 功 し 続 いてデータの 暗 号 化 / 復 号 化 に 使 用 される 対 応 す るセッション 鍵 を 割 り 出 した 場 合 その 攻 撃 者 はすべての 通 信 を 傍 受 できるようになり ます 例 えば 悪 意 のある 人 物 が 秘 密 鍵 を 入 手 した 場 合 この 攻 撃 者 は 任 意 のユー ザーが 自 分 の 銀 行 口 座 やパスワードで 保 護 されたアカウントにログインするのをひそ かに 観 察 し そのユーザーのクレデンシャルを 取 得 すると それを 使 用 して 当 該 ユー ザーになりすまします この 結 果 アプリケーションのセキュリティは 完 全 に 破 られ あ らゆるユーザーが 危 険 にさらされることになります その 攻 撃 者 は いわゆる 城 の 中 へ 入 るための 鍵 を 手 に 入 れたことになります 暗 号 化 は 最 初 のステップ に 過 ぎない 鍵 長 が 強 度 を 決 定 する 鍵 長 が 小 さいほどセキュリ ティレベルは 甘 くなる 業 界 全 体 が 1024bit 鍵 長 から 2048bit 鍵 長 へと 移 行 暗 号 強 度 は 鍵 長 に 直 接 結 び 付 けられます 鍵 長 はビット 数 で 表 されます( 例 : 1024bit 鍵 長 など) 鍵 長 が 大 きいほど 攻 撃 者 がブルートフォース 手 法 を 使 って 公 開 鍵 / 秘 密 鍵 を 解 読 する 場 合 の 演 算 コストが 高 くなります 10 年 前 までは 512bit 鍵 長 で 十 分 安 全 であると 考 えられていました しかし 512bit 鍵 長 が 解 読 可 能 であると 実 証 されたことが 広 く 報 じられたため IT 組 織 は 急 遽 1024bit 鍵 長 へのアップグレードを 行 いました 今 や 安 価 で 高 速 な 演 算 リソースがま すます 利 用 可 能 となっているため 1024bitSSL 鍵 長 もハッカーの 射 程 内 に 入 ってい ます 非 常 に 多 くのものが 危 険 にさらされるため 組 織 は 自 社 のビジネスや 運 用 が 現 在 直 面 している 脅 威 について 検 討 する 必 要 があります 企 業 は 自 社 の SSL 暗 号 化 アプリ ケーションのセキュリティを 確 保 するために 2048bit 鍵 長 へと 移 行 する 必 要 がありま す セキュリティプラクティスの 権 威 機 関 である 米 国 標 準 技 術 局 (NIST)は 2011 年 4

2011 年 ~2013 年 ま で に 1024bit の RSA 鍵 を 使 用 した デジタル 署 名 の 生 成 は 廃 止 さ れ 2014 年 初 頭 からは 禁 止 さ れます NIST Special Publication 800-131B(2011 年 2 月 発 行 )より 抜 粋 ~2013 年 までの 間 に 1024bit 鍵 長 の 使 用 を 廃 止 することを 組 織 に 推 奨 するセキュリ ティ 通 知 (NIST Special Publication 800-131B)を 発 行 しています また NIST は 2014 年 以 降 の 1024bit 鍵 長 の 使 用 に 対 して 明 示 的 な 警 告 を 行 っています 更 に Mozilla (Firefox )や Microsoft (Internet Explorer )などの 主 要 なブラウザ ベンダは 近 い 将 来 ブラウザユーザーを 保 護 するために 2048bit 鍵 長 を 使 用 する ことを Web サイトに 要 請 する 予 定 です これらのブラウザベンダは 2048bit より 短 い 鍵 長 で 発 行 された 証 明 書 が 2013 年 12 月 31 日 までに 期 限 切 れとなるように 保 証 す ることを 認 証 局 に 要 請 しています これらの 理 由 により すべての 組 織 は 自 社 のア プリケーションやアプリケーションデータを 保 護 するために および 自 社 のインフラス トラクチャがより 大 きな 鍵 長 をサポート 可 能 であることを 保 証 するために 最 低 でも 2048bit 鍵 長 の 使 用 を 開 始 する 必 要 があります 2048bit SSL を 使 用 する 場 合 のアプリケーション 性 能 の 維 持 2048bit 鍵 長 はセキュリティを 大 幅 に 強 化 しますが その 一 方 で 1024bit 鍵 長 よりも 遥 かに 多 くの 処 理 能 力 を 必 要 とします これは アプリケーションの 性 能 と 可 用 性 を 維 持 するために 組 織 は 強 化 された SSL 向 けに 対 応 した 新 しい SSL インフラストラ クチャを 採 用 する 必 要 があることを 意 味 します 長 い 鍵 長 がアプリケーションやインフラストラクチャの 性 能 に 与 える 影 響 2048bit 鍵 長 の 要 求 を 満 たすような SSL インフラストラクチャを 選 択 する 場 合 SSL の 動 作 原 理 や SSL 性 能 に 影 響 する 要 因 を 理 解 することが 重 要 です 各 SSL セッショ ンは 1)セッションナビゲーションフェーズおよび 2)バルクデータ 暗 号 化 / 復 号 化 フェーズという 2 つのフェーズに 分 けられます 1024bit 鍵 長 はセキュリティ 上 の 危 険 にさらされている NIST は 2048bit 鍵 長 の 使 用 を 推 奨 している 鍵 長 が 大 きくなると 性 能 に 影 響 する セッションナビゲーションフェーズ(SSL ハンドシェークフェーズとも 呼 ばれる)におい て 初 期 接 続 が 確 立 され 暗 号 スイート(すなわち どのような 暗 号 化 および 認 証 ア ルゴリズムを 使 用 するか)がネゴシエートされると セッション ID が 割 り 当 てられ セッ ション 鍵 が 生 成 され 交 換 されます いったんセッションが 実 際 に 確 立 されると 暗 号 化 / 復 号 化 データを 含 むバルクデータ 転 送 がクライアントとサーバー 間 で 発 生 します このバルクデータ 転 送 フェーズは 先 の SSL ハンドシェークフェーズよりも 演 算 コスト が 低 いことに 注 意 する 必 要 があります 図 4:SSL セッションの 構 造 SSL ハンドシェークフェーズとバルクデータ 暗 号 化 / 復 号 化 フェーズの 違 いを 理 解 す ることは SSL セキュリティが Web アプリケーションの 性 能 や トラフィック 量 の 増 加 に 合 わせてデータセンターインフラストラクチャを 運 用 する 能 力 にどのように 影 響 するか を 理 解 する 上 で 非 常 に 重 要 です SSL ハンドシェークフェーズ 時 に 発 生 する 性 能 オーバーヘッドは SSL セッションの 全 体 的 な 性 能 に 影 響 を 及 ぼします 任 意 のアプ リケーションやインフラストラクチャにおいて 指 定 の 期 間 中 にサポート 可 能 な 新 規 5

SSL セッションの 数 が 重 要 な 数 値 指 標 となります この 指 標 は 通 常 SSL TPS(1 秒 当 たりの SSL トランザクション 数 )を 単 位 として 測 定 されます SSL TPS で 表 される 性 能 は SSL 鍵 長 により 直 接 的 な 影 響 を 受 けます 鍵 長 を 1024bit から 2048bit へと 倍 増 すると 解 読 に 必 要 となる 数 値 演 算 量 が 格 段 に 増 加 す るため 保 護 強 度 が 飛 躍 的 に 向 上 します この 結 果 としてセキュリティは 向 上 します が その 一 方 で 2048bit の 証 明 書 の 処 理 に 必 要 となる 演 算 能 力 は 1024bit の 5~ 20 倍 になります SSL ハンドシェークは 多 くのリ ソースを 消 費 する 1 秒 当 たりの SSL トランザク ション 数 は 重 要 な 性 能 因 子 と なる 2048bit 鍵 長 を 使 用 す る と TPS 性 能 が 80%ダウンする 図 5:2048bit 鍵 長 が 性 能 に 与 える 影 響 例 えば 1024bit の 証 明 書 で 5,000 TPS を 処 理 できる ADC アプライアンスの 場 合 2048bit の 証 明 書 で 処 理 可 能 な TPS は 約 1,000 になります これは ある Web サイト で 1024bit の 証 明 書 を 使 用 していた 場 合 と 同 じ SSL 処 理 キャパシティを 2048bit 証 明 書 の 場 合 にも 提 供 するためには 同 Web サイトの 事 業 者 は 5 倍 の 台 数 の ADC アプライアンスを 追 加 しなければならないことを 意 味 します すなわち 企 業 は 1024bit から 2048bit への 証 明 書 の 移 行 を 行 うための 計 画 を 正 しく 作 成 する 必 要 があ ります これを 行 わない 場 合 自 社 の 運 用 に 対 する 大 幅 な 性 能 务 化 やビジネスへの 影 響 を 引 き 起 こす 危 険 性 があります 特 に 企 業 は SSL 処 理 用 のインフラストラクチャが SSL セッションネゴシエート 時 に 高 性 能 を 維 持 できる(すなわち 有 意 なレイテンシを 生 じさせない)だけでなく 予 想 されるアプリケーションの 数 やアプリケーショントラフィック 量 に 対 処 できる 十 分 な 余 地 を 持 たなければならないことを 考 慮 する 必 要 があります SSL スループットも 考 慮 に 入 れる 必 要 がありますが SSL 性 能 に 関 する 最 も 重 要 な 数 値 指 標 は SSL トランザ クション 率 すなわち SSL TPS です 2048bit SSL 処 理 インフラストラクチャを 計 画 す る 場 合 のベストプラクティス 適 切 なレベルの SSL TPS を 提 供 するには スケーラブルで 効 率 的 な SSL ネットワー クインフラストラクチャを 構 築 するためのベストプラクティスを 理 解 する 必 要 があります 残 念 ながら 汎 用 のサーバーCPU は SSL ハンドシェークフェーズにおける 処 理 を 苦 手 とし 高 速 で 大 量 の 演 算 を 行 う SSL タスクを 十 分 に 処 理 できません より 新 しい 世 代 の CPU の 中 には 一 般 的 な 暗 号 化 アルゴリズム(AES) 向 けのネイティブサポートを 提 供 するものもありますが これはバルクデータ 暗 号 化 / 復 号 化 フェーズで 有 用 なも 6

のであり このメリットの 多 くは SSL ハンドシェークフェーズで 最 初 に 発 生 する 演 算 オーバーヘッドにより 打 ち 消 されてしまいます サーバーが SSL 処 理 の 負 荷 をサ ポートできる 場 合 であっても それを 行 うことにより 利 用 可 能 な CPU やメモリなどのリ ソースが 消 費 されるため アプリケーション 実 行 という 本 来 の 役 目 を 遂 行 するサー バーの 能 力 に 影 響 を 与 えることになります この 問 題 を 解 決 するために メーカーは SSL 処 理 に 必 要 となる 再 帰 的 タスクや 演 算 能 力 を 多 用 するタスクの 両 者 を 非 常 に 効 率 的 に 実 行 する 特 殊 な SSL プロセッサを 開 発 しています このような 特 殊 プロセッサは Web サーバーやアプリケーション サーバーのフロントに 配 備 される ADC(クライアントとサーバー 間 の 通 信 でプロキシ として 動 作 するもの)に 搭 載 されます SSL 処 理 を 特 定 の ADC へとオフローディング することにより サーバーを 負 荷 から 解 放 してサーバー 本 来 の 機 能 を 実 行 できるよう にすると 同 時 に データセンター 内 の SSL 処 理 に 関 する 論 理 的 な 統 合 ポイントを 提 供 できます 2048bit への 移 行 には 計 画 が 必 要 サーバーは SSL 向 けに 最 適 化 されていない ADC を 使 用 して SSL を 高 速 化 する ADC により SSL 処 理 を 統 合 することのもう 1 つの 利 点 として SSL 接 続 のパーシス テンス 管 理 が 挙 げられます これは セッションまたはトランザクションが 完 了 するまで ユーザーが 同 一 のサーバーに 接 続 されていることを 必 要 とする e コマースの 場 合 に 重 要 となります SSL v3 では クライアント/サーバー 接 続 の 持 続 性 を 確 立 するため に 新 しい SSL セッション ID が 使 用 されます このセッション ID は ある 新 しいブラウ ザでは 2 分 ごとに 変 更 されます ADC を 使 用 することで このような 頻 繁 なセッション ID のネゴシエーションをオフローディングすると 共 に データを 適 切 に 解 釈 すること により 接 続 の 持 続 性 を 保 証 できます ベストプラクティス 2048bit SSL 証 明 書 に 対 応 したインフラストラクチャの 準 備 1. SSL セッションハンドシェークおよびバルクデータ 暗 号 化 の 処 理 を 2048bit SSL 処 理 用 に 最 適 化 された ADC へとオフローディングします 高 性 能 の ADC はハードウェアベースの SSL 高 速 化 機 能 を 搭 載 しており 汎 用 サー バーよりも 多 くの SSL TPS を 処 理 できます 先 進 的 な ADC は クライアント 要 求 やアプリケーション 応 答 を 平 文 形 式 の HTTP から SSL で 保 護 された HTTPS へとオンザフライで 書 き 換 えます これにより あるアプリケーションが SSL 向 けに 設 計 されていない 場 合 であっても そのアプリケーション 全 体 を 強 制 的 に SSL 保 護 することが 可 能 となります 2. SSL トラフィックを 受 信 する 各 インフラストラクチャ 要 素 をリストアップします 各 要 素 が レイテンシの 追 加 やパケット 破 棄 を 発 生 させることなく より 強 力 なレベルの 暗 号 化 をサポートできるだけの 処 理 キャパシティを 持 っていること を 確 認 します 3. 現 在 使 用 している SSL 証 明 書 の 監 査 を 実 施 します 期 限 切 れが 近 い 証 明 書 を 最 初 に 更 新 する 必 要 があります その 際 利 用 している 認 証 局 が その 証 明 書 の 更 新 を 2048bit 鍵 長 で 行 うよう 命 令 します 4. 自 社 のネットワークおよびアプリケーションに 関 する 現 在 の SSL 性 能 要 件 を 評 価 します 現 在 のトラフィックキャパシティを 測 定 するだけでなく 少 なくと も 今 後 3 年 間 の 成 長 率 を 推 定 します 現 在 および 将 来 の 要 件 を 満 たすよう なインフラストラクチャを 設 計 することを 目 標 とします 5. SSL スループット 指 標 だけではなく 1 秒 当 たりの SSL トランザクション 数 (TPS)にも 注 目 してください 後 者 は 適 切 なインフラストラクチャのサイジング に 最 も 関 連 する 指 標 です 各 コンポーネントが 2048bit 鍵 長 向 けに 最 適 化 さ れていることを 確 認 します 6. 手 始 めにミッションクリティカル 度 の 低 いアプリケーションの 証 明 書 の 評 価 を 行 うことで テクノロジに 精 通 し 新 しい 性 能 要 求 を 理 解 するよう 努 めます 無 料 のトライアル 版 の 開 発 SSL 証 明 書 が Symantec 社 から 入 手 できます( 証 明 書 の 評 価 用 ) 7

7. まず 2048bit 証 明 書 に 移 行 します 4096bit 以 上 の SSL 鍵 は 例 外 的 な 環 境 でのみ 必 要 となります 8. 機 密 性 の 高 いアプリケーションの 場 合 ADC とバックエンドサーバーインフ ラストラクチャ 間 の 通 信 を 再 暗 号 化 します これにより 一 部 の 環 境 で 必 要 と なるエンドツーエンドの 暗 号 化 を 実 現 できます すべての 一 般 的 な ADC ソ リューションは SSL 再 暗 号 化 をサポートしています 9. 2048bit SSL への 移 行 の 前 と 後 で エンドユーザーアプリケーション 性 能 をそ れぞれ 測 定 します 特 に 各 種 の 負 荷 状 況 における SSL セッションのネゴシ エート 時 に 注 目 します 詳 細 な 性 能 計 測 を 提 供 する 商 用 サービスが 数 多 く 存 在 しますが それらのサービスを 使 用 する 場 合 同 サービスが SSL 保 護 HTTPS アプリケーションのエンドツーエンド 性 能 を 測 定 できることを 確 認 して ください また 多 くの ADC も 全 体 的 な 影 響 の 評 価 に 使 用 できるアプリ ケーション 性 能 監 視 ツールを 提 供 しています 2048bit に 対 応 したインフ ラストラクチャを 用 意 するこ と アプリケーション 性 能 の 測 定 インフラストラクチャの 適 切 なスケーリング 適 切 な ADC の 選 択 SSL 処 理 を ADC に 対 してオフローディングすることを 決 定 した 場 合 2048bitSSL ト ラフィックを 高 いトランザクションレートとスループットレベルで 処 理 できるように 最 適 化 された ADC を 選 択 する 必 要 があります ADC の SSL 性 能 を 評 価 する 場 合 SSL 処 理 能 力 が 1) 搭 載 されている SSL 処 理 ハードウェアの 能 力 とキャパシティ および 2) 搭 載 された SSL チップや SSL 高 速 化 カードの 性 能 を 最 大 化 するよう 細 かく 調 整 さ れたソフトウェア 最 適 化 という 2 つの 要 因 に 大 きく 依 存 することに 注 意 してください 最 初 の 要 因 について 理 解 することは 簡 単 です データセンター 管 理 者 がベンダの 提 供 する 最 新 の 製 品 を 評 価 することにより この 要 因 を 明 らかにすることを 推 奨 します 多 くの 場 合 これらのプラットフォームは 2048bit~4096bit の 鍵 長 を 処 理 できるよう に 設 計 された 最 新 の SSL プロセッサにより 構 築 されているため 1024bit 鍵 長 用 に 設 計 された 旧 式 のプロセッサよりも 遥 かに 高 い 性 能 を 発 揮 します 2 番 目 の 要 因 である ソフトウェア 最 適 化 は 適 切 な ADC を 特 定 するためにより 詳 しい 調 査 を 必 要 とします 多 くの ADC ベンダは 実 際 には 同 じ SSL プロセッサを 使 用 しています このためス ピードやチップの 数 を 別 にすれば SSL 性 能 は これらのチップから 最 大 の 性 能 と 利 用 率 を 引 き 出 すために 当 該 ソフトウェアが 以 下 に 緊 密 に 結 合 されインテリジェントに 設 計 されているかに 依 存 します シトリックスをはじめとする 主 要 な ADC ベンダは 2048bit 鍵 長 向 けに SSL 性 能 を 最 適 化 する 先 進 的 なテクノロジを 開 発 しています こ れには 以 下 の 機 能 が 含 まれます 複 数 の SSL チップ 間 でのインテリジェントな 負 荷 分 散 SSL セッションを 複 数 の SSL チップ 間 で 負 荷 分 散 することにより 最 良 の 処 理 性 能 を 提 供 すると 共 に レイテンシを 低 下 させます SSL チップごとに 複 数 の SSL 操 作 をキューイング 1 つのチップ 当 たり 複 数 の SSL 操 作 をキューイングすることにより 1 つのチップの 処 理 能 力 の 使 用 率 を 最 適 化 します SSL リソースの 分 離 マルチテナント 型 の ADC 配 備 において 各 テナントに 専 用 の SSL リソースに 割 り 当 てます これにより 1 つの ADC インスタンスによ る 過 度 の 処 理 キャパシティ 消 費 や 他 のテナントの 性 能 の 低 下 を 防 ぐことがで きます 最 後 に 検 討 すべきは ハードウェアベースの ADC とソフトウェアベースの ADC 仮 想 アプライアンスのどちらを 選 択 するかという 問 題 です ASIC による SSL 専 用 プロセッ サを 搭 載 したハードウェアベースの ADC は 膨 大 な 量 の SSL 要 求 を 処 理 するアプ リケーションを 配 信 する 場 合 に 最 適 です 一 方 SSL TPS が 最 高 でも 50~100 であ るようなアプリケーションの 場 合 今 日 のデータセンタークラスのサーバー 上 に ADC 仮 想 アプライアンスを 配 備 することで 十 分 対 応 できます 8

適 切 な ADC を 選 択 するこ と すべての ADC が 等 しく 設 計 されているわけではない NetScaler の 2048bitSSL 性 能 は 他 社 の ADC の 性 能 を 大 きく 上 回 っている 図 6:Citrix NetScaler は 2048bit SSL の 性 能 に 関 して 他 の ADC を 遥 かに 凌 い でいる 結 論 現 在 あらゆる Web アプリケーションを 2048bit またはそれ 以 上 の 鍵 長 を 使 用 する SSL により 保 護 する 必 要 があります 1024bit SSL から 2048bit SSL へと 移 行 すること により 保 護 は 飛 躍 的 に 改 善 されます ただし これにはコストがかかります 2048bit 鍵 長 を 処 理 するには 1024bit 鍵 長 の 5~30 倍 の 処 理 能 力 が 必 要 となります アプリケーションの 性 能 と 可 用 性 を 維 持 するために 企 業 は 自 社 の SSL インフラスト ラクチャ 特 に ADC をアップグレードする 必 要 があります ADC を 評 価 する 場 合 Citrix NetScaler のような 2048bit の SSL 証 明 書 の 処 理 に 関 して 最 適 化 されている ソリューションを 重 視 する 必 要 があります SSL インフラストラクチャの 適 切 なアップグレードに 失 敗 すると エンドユーザーエク スペリエンスの 务 化 を 引 き 起 こす 場 合 があります また その 結 果 として 2048bit 鍵 長 が 性 能 に 与 える 影 響 を 解 決 するために 予 期 せぬ 高 額 なインフラストラクチャの アップグレードを 行 うことになりかねません 9

Citrix について Citrix Systems, Inc. (NASDAQ:CTXS)は 企 業 が IT をオンデマンドサービスとして 配 信 できるようにする 仮 想 コンピューティングソリューションのトップ プロバイダーです 1989 年 に 設 立 されたシトリックスは 仮 想 化 やネットワーキング クラウドコンピューティングを 組 み 合 せることで ユーザー 向 けに は 仮 想 ワークスタイルを 実 現 し IT 部 門 向 けには 仮 想 データセンターを 提 供 する 理 想 的 製 品 ラインナップを 持 つ 企 業 です 世 界 中 で 23 万 を 超 える 組 織 がシトリックス 製 品 を 使 用 し シンプルでコスト 効 率 の 良 い IT 環 境 を 構 築 しています 100 以 上 の 国 と 地 域 で 1 万 社 を 越 えるパートナー 企 業 と 提 携 し 2010 年 度 の 年 間 売 上 高 は 18 億 7 千 万 ドルでした 2011 Citrix Systems, Inc. All rights reserved. Citrix Citrix XenDesktop TM Citrix XenApp TM Citrix XenClient TM Citrix GoToMeeting および Citrix GoToAssist は Citrix Systems, Inc.またはその 子 会 社 の 登 録 商 標 であり 米 国 の 特 許 商 標 局 およびその 他 の 国 に 登 録 されています その 他 の 商 標 や 登 録 商 標 はそれぞれの 各 社 が 所 有 権 を 有 するものです 0911/PDF