End to End の暗号化機能について教えてほしい
Tunaclo API Connect では End to End の暗号化機能を提供しています。
以下では End to End 暗号化の役割と、暗号化しない場合のリスクについて説明します。
Tunaclo API Connect は、https (TLS1.3)通信により、Front Agent~Router 間ならびに、Back Agent~Router 間は暗号化通信されていますが、Router 上でいったん暗号化を解き、IP パケットのルート情報のみを参照しています。(Router は富士通でセキュアに管理されています。)
より高いレベルのセキュリティが必要な業務向けに、Front Agent~Back Agent 間を暗号化する「End to End の暗号化機能」(E2E 暗号化)を提供しています。設定方法については、ユーザーズガイドの「
End to End 暗号化の有効化
」をご参照ください。
End to End の暗号化機能を利用する場合と利用しない場合のセキュリティ的なリスクは以下の通りです。
- E2E 暗号化しない場合:我々(富士通)の管理するサーバー(Router)のメモリ上で一度暗号が復号化されるタイミングがある
- E2E 暗号化する場合:我々(富士通)の管理するサーバーのメモリ上でも暗号化されたまま
我々としては、セキュリティ面に関しても運用に万全を期しておりますが、以下をリスクとみなす場合はご利用をご検討ください
- 我々の Tunaclo Server がクラックされてメモリ内容を盗まれる
- トラフィックが全てキャプチャされたうえで Tunaclo の秘密鍵が盗まれる
End to End の暗号化を設定した場合、ユーザー定義の E2E 鍵が漏えいしない限り暗号解読ができなくなりますが、暗号化によるコストやユーザー定義証明書の運用コスト増加にもつながりますので Pros.Cons をご検討ください。