平成23年度秋期情報セキュリティスペシャリスト試験の午後I問3を題材に、サクラ先輩がHTTPS通信とプロキシの仕組みを分かりやすく解説する動画です。HTTPS通信でプロキシがログを取得できない理由から、SSLインスペクションを用いた解決策、そして証明書エラーを防ぐための具体的な設定まで、現代の必須知識を学べます。

動画内で解説されている重要なキーワードとその仕組みについて説明します。まず、HTTPS通信とプロキシの関係において重要な役割を果たすのがCONNECTメソッドです。通常のHTTP通信では、プロキシは通信内容を中継しますが、HTTPS通信はブラウザとWebサーバ間で暗号化されるため、中間に位置する従来のプロキシは通信の中身を見ることができません。そこでブラウザは、プロキシに対して目的のサーバまでのトンネルを開通してほしいと要求します。このトンネルを掘るための合図として使われるのがCONNECTメソッドです。これによりプロキシは単なる土管のように働き、通信は素通りすることになります。しかし、この仕組みでは企業が情報漏えい対策として行いたいアクセスログの取得や送信内容の確認、ウイルスチェックなどの機能が働かなくなってしまいます。 この課題を解決するために導入されるのが、SSLインスペクション機能を持つプロキシです。動画内では新たな解決策として登場しており、この仕組みは、ブラウザとWebサーバの間に入り、それぞれと独立して暗号化通信を確立するというものです。プロキシが一度通信を受信して復号し、内容の検査やログの取得を行った後、再び暗号化してWebサーバへ送信します。これによりHTTPS通信でも中身の確認が可能になります。ただし、この仕組みは技術的には善意の中間者攻撃と同じ振る舞いをするため、ブラウザの厳格な防衛本能である証明書チェックに引っかかってしまいます。 ブラウザの防衛本能の主なチェック項目には、サーバ証明書に記載されているコモンネームとアクセス先のホスト名が一致しているかどうか、そしてその証明書がブラウザの信頼する認証局から発行されたものであるかどうかの二点があります。コモンネームとは証明書に書かれているサーバの名前のことであり、IPアドレスとは異なります。SSLインスペクションを行うプロキシは、Webサーバのふりをするために、本物のサーバ証明書からコモンネームを精巧にコピーし、自ら偽造した証明書を動的に生成してブラウザに送ります。これにより名前の一致のチェックをクリアします。 しかし、プロキシが勝手に作った証明書はブラウザにとって身元不明の扱いとなるため、そのままではプライバシーが保護されませんという警告画面が表示されてしまいます。セキュリティ教育の観点から、警告が出た際にユーザーに次へを押させて回避させるような運用はシステム管理者として絶対に避けるべきです。この警告を防ぐためには、システム管理者が事前に社内の全パソコンに対して、プロキシ自身を信頼できる親分として認めるためのルート証明書を配布し、インストールしておく必要があります。ルート証明書とは、この人が発行した証明書は信じるよという大元のリストのことです。 さらに、2026年の最新技術動向として、SWGやSASEといったセキュリティソリューションにおいてSSLインスペクションは当たり前のように実装されています。一方で、TLS1.3やECHといった技術の登場により、接続先のドメイン名すら暗号化されるようになり、暗号化技術はますます強力になっています。企業が通信を可視化してセキュリティを守ることと、プライバシー保護の強化を両立させる難易度は年々上がっており、これらの基本的な仕組みを理解しておくことは非常に重要です。 www.youtube.com