避けられないWeb SSL化の流れ

今年から来年にかけて、webアクセスの姿が大きく変わろうとしてきています。

HTTPからHTTPSへ、常時SSLの流れは避けられないものとなってきました。

大きな理由は2つです。

1. 検索エンジン大手 Google がSSLを検索のシグナルに採用
(2014年8月)
出典:http://googlewebmastercentral-ja.blogspot.jp/2014/08/https-as-ranking-signal.html

2. 米国のセキュリティ関連の非営利団体  ISRGによるSSL証明書の無料配布
(2015年夏)
出典:https://letsencrypt.org/

インターネットでビジネスを行うイーコマースはもちろんのこと、BtoB、BtoCのビジネスにおいても、検索エンジン、つまりオーガニックサーチ(自然検索)で上位になることは、ビジネス上の重要課題となっています。

実際、BtoBにおける顧客の購買行動の第一段階である情報収集(認知)の段階において70%を越えるウエイトを占めているのは、web検索で行われています。それだけwebマーケティングはビジネスを推進する上での重要な要素となっています。

セキュリティ強度とパフォーマンスはトレードオフ

常時SSLの背景には、セキュリティの問題が挙げられます。近年よく耳にする標的型攻撃、Web改ざん、情報流出などはセキュリティが課題であることを露にしています。

またセキュリティには、単純なものから複雑なものまで多く存在します。従って、ただ導入すればいいというわけではなく、その強度も重要な課題となってきます。

次に考えなければならないのはセキュリティの強度を高くした場合の副作用です。薬も同じですが、強い薬を飲めば、より症状を緩和させるなど良いこともありますが、同時に副作用も存在します。

では、セキュリィ強度を高くした場合の副作用は何でしょうか?それは、パフォーマンスの低下です。暗号化の鍵長が長くなれば長くなるほど、暗号化、複合化の処理に負荷がかかります。実際、1024bit と2048bit を比較した際、2048bitでは5倍~30倍の処理能力が必要になり、約80%のパフォーマンスの低下が見られます。このようにセキュリティ強度とパフォーマンスはトレードオフの関係といえます。

サーバーのSSL処理を肩代わりするロードバランサー

近年のサーバーの性能の向上により、パフォーマンスをそこまで意識しないという傾向もあります。SDN/NFVという概念も、そういったサーバーのパフォーマンス向上で享受できるテクノロジーであると考えられます。一方で、ハードウェアは必要ないかというとそういう訳ではありません。例えば、サービスプロバイダーのコアにはASIC処理をするルーターは変わらず使われつづけています。つまり、ハードウェアですべきところと、ソフトウェアで提供できるところの見極めが必要になってきます。

話をSSLに戻すと、SSLの処理もサーバーではなく、サーバーの手前に配置するSSL アクセラレータ(ハードウェアチップ)を持つ、ロードバランサー、ADCで実装することができます。そうすることにより、パフォーマンスの低下でサーバーを増設することなく、SSLの処理だけをロードバランサーに”オフロード”することができます。

SSLに強いロードバランサーとは?

では、どのロードバランサーを選ぶべきなのか、考慮すべきところは2点です。一つは、SSLのキャパシティ。つまりSSL のハードウェアチップを何枚搭載しているかというところです。当然多ければ多いほど良いわけですが、価格にも跳ね返ってきます。もう一つの考慮点は、最適化されたオペレーティングシステムです。搭載されたSSLチップを効率良く使う為には、優れたオペレーティングシステムは必要になります。Citrix NetScaler では、SSLに最適化した一つのOSを全てのモデルで採用しており、競合他社と比較しても類似モデルで2倍から3倍のパフォーマンスを発揮します。Citrix NetScalerについての詳細は、関連資料で紹介しています。

——————————————————————————————

関連資料

NetScaler製品情報

2048bit SSL 実装のベストプラクティス

F5 VIPRIONとCitrix NetScalerでSSL鍵長2048 bit 処理能力を比較

NetScaler MPX8010特価キャンペーン