Cybersecurity

企業の透明プロキシ - 会社が見ることができるもの

Created   Updated
Privacy SSL Interception Enterprise Security
  1. 企業SSL傍受の仕組み
  2. ブラウザが証明書を有効と表示する理由
  3. 会社が見ることができるもの
  4. 機密情報を保護する方法
  5. Apple Push Notification Service(APNS)がプロキシをブロックする理由
  6. ネットワーク上のSSL傍受を検出する
  7. 企業ネットワークでのプライバシーのベストプラクティス
  8. 法的および倫理的考慮事項
  9. IT管理者が考慮すべきこと
  10. 選択をする

あなたは職場で、昼休みに銀行口座を閲覧しています。ブラウザには緑色の南京錠アイコンが表示されています—HTTPSが機能していて、すべてが暗号化されている、そうですよね?そうではありません。会社の透明プロキシが中間に位置し、すべてのキーストローク、すべてのパスワード、すべてのプライベートメッセージを復号化しています。

ほとんどの従業員は、企業ネットワークがHTTPSトラフィックを復号化できることを知りません。南京錠アイコンを見て、接続がプライベートだと思い込んでいます。しかし、その南京錠は嘘をついています。ブラウザが信頼している証明書は銀行からのものではありません—それは会社のプロキシサーバーからのもので、銀行になりすましています。

これはハッキングやセキュリティ侵害ではありません。これは機能です。SSL傍受機能を備えた企業透明プロキシは、世界中の何千もの企業に展開されており、セキュリティ監視、データ漏洩防止、ポリシー実施のために、従業員のトラフィックを静かに復号化して検査しています。

これがどのように機能するかを理解することは、単なる技術的好奇心ではありません—企業ネットワーク上で実際にどのようなプライバシーを持っているかを知ることです。

企業SSL傍受の仕組み

SSL傍受を備えた企業ネットワーク上で https://neo01.com に接続すると、実際には次のようなことが起こります:

sequenceDiagram participant C as あなたのブラウザ participant P as 企業プロキシ participant B as neo01.com C->>P: neo01.com:443に接続 Note over C,P: ブラウザはneo01.comと通信していると思っている P->>B: 実際のHTTPS接続を確立 B->>P: 実際の証明書を送信 (DigiCert) P->>P: 偽の証明書を生成 (企業CA) P->>C: 偽の証明書を送信 Note over P,C: 企業CAによって署名 C->>C: 証明書を検証 Note over C: ✓ 有効!企業CAは信頼されている C->>P: 暗号化データを送信 (パスワードなど) P->>P: 復号化して検査 Note over P: プロキシはすべてを見ることができる P->>B: 再暗号化して転送 B->>P: レスポンスを送信 P->>C: 復号化、検査、再暗号化

重要なステップ

  1. 傍受:プロキシはHTTPS接続がインターネットに到達する前に傍受します
  2. 二重接続:プロキシは2つの独立したHTTPS接続を確立します:
    • あなたとの接続(偽の証明書を使用)
    • 実際のウェブサイトとの接続(実際の証明書を使用)
  3. 証明書偽造:プロキシはneo01.comの偽の証明書を生成し、企業CAによって署名します
  4. 復号化:プロキシはトラフィックを復号化し、検査してから、転送前に再暗号化します
  5. 完全な可視性:プロキシは平文ですべてを見ます:パスワード、クレジットカード、メッセージ

ブラウザが証明書を有効と表示する理由

これはほとんどの人を混乱させる部分です。証明書を確認すると有効と表示されますが、発行者が間違っています。なぜブラウザは警告しないのでしょうか?

企業CA証明書

会社に入社してノートパソコンを受け取ると、ITはシステムの信頼されたルート証明書ストアに企業CA(認証局)証明書をインストールします。

Windows

場所:certmgr.msc → 信頼されたルート証明機関
証明書:「企業ITルートCA」または類似の名前
目的:企業CAによって署名された証明書を信頼する

macOS

場所:キーチェーンアクセス → システム → 証明書
証明書:企業CA
信頼設定:常に信頼

これが意味すること:オペレーティングシステムは、企業CAによって署名された証明書を信頼するようになります—プロキシによって生成された偽の証明書を含みます。

証明書検証プロセス

ブラウザがプロキシを介して https://neo01.com に接続すると:

1. ブラウザはneo01.comの証明書を受信
2. 証明書発行者:「企業ITルートCA」
3. ブラウザは確認:「企業ITルートCA」は信頼されているか?
4. システムは言う:はい、信頼されたルート証明書ストアにある
5. ブラウザは表示:✓ 有効な証明書、緑色の南京錠

欺瞞:証明書は技術的には有効です—信頼されたCAによって適切に署名されています。しかし、それはneo01.comからの実際の証明書ではありません。それはプロキシによって生成された偽の証明書です。

実際の証明書発行者の確認

実際に何が起こっているかを確認する方法は次のとおりです:

Chrome/Edgeで

1. 南京錠アイコンをクリック → 証明書
2. 「発行者」フィールドを確認
3. 期待:「DigiCert」、「Let's Encrypt」、「Sectigo」
4. 実際:「企業ITルートCA」、「Blue Coat」、「Zscaler」

Firefoxで

1. 南京錠をクリック → 接続は安全 → 詳細情報
2. 証明書を表示 → 発行者
3. 期待される発行者と比較

コマンドライン

# 証明書発行者を確認
echo | openssl s_client -connect neo01.com:443 2>/dev/null | openssl x509 -noout -issuer

# 期待される出力:
issuer=C=US, O=DigiCert Inc, CN=DigiCert TLS RSA SHA256 2020 CA1

# 実際の出力(プロキシあり):
issuer=C=US, O=YourCompany, CN=Corporate IT Root CA

🚨 異なる発行者 = 中間者攻撃

証明書発行者が期待されるCAと一致しない場合、SSL傍受プロキシの背後にいます。トラフィックは復号化され、検査されています。

会社が見ることができるもの

SSL傍受が有効になっている場合、企業プロキシはHTTPSトラフィックを完全に可視化できます。

HTTPSリクエスト内のすべて

✓ クエリパラメータを含む完全なURL
✓ HTTPヘッダー(Cookie、ユーザーエージェント、リファラー)
✓ POSTデータ(フォーム送信、アップロード)
✓ パスワードと認証情報
✓ クレジットカード番号
✓ プライベートメッセージ(メール、チャット、ソーシャルメディア)
✓ 医療情報
✓ 財務データ

例:銀行セッション

URL: https://neo01.com/login
POSTデータ: username=john@email.com&password=MySecret123
Cookie: session_id=abc123xyz789
ヘッダー: Authorization: Bearer eyJhbGc...

すべてプロキシに平文で見える。

復号化なしでもメタデータ

特定のコンテンツが復号化されていなくても、プロキシはメタデータを収集します:

✓ どのウェブサイトを訪問するか
✓ いつ訪問するか
✓ どのくらい滞在するか
✓ どのくらいのデータを転送するか
✓ どのデバイスを使用するか
✓ あなたの場所(IPアドレス)

記録される内容

企業プロキシは通常、広範な情報を記録します:

{
  "timestamp": "2021-01-31T14:23:45Z",
  "user": "john.doe",
  "device": "LAPTOP-12345",
  "source_ip": "192.168.1.100",
  "destination": "neo01.com",
  "url": "https://neo01.com/account/transfer",
  "method": "POST",
  "bytes_sent": 2048,
  "bytes_received": 4096,
  "duration_ms": 342,
  "category": "Finance",
  "action": "allowed",
  "content_type": "application/json"
}

保持期間:ログは通常90日から1年間保持され、コンプライアンスのためにさらに長く保持されることもあります。

アクセス権:ネットワーク管理者、セキュリティチーム、経営陣、人事、法務、および場合によっては法執行機関がログにアクセスできます。

⚠️ プライバシーの期待なし

企業の利用規定は通常、次のように述べています:「従業員は会社のネットワークリソースを使用する際にプライバシーの期待を持ちません。」あなたが行うすべてのことは監視され、記録される可能性があります。

機密情報を保護する方法

1. 個人活動にはモバイルデータを使用する

企業の監視を避ける最も確実な方法は、企業ネットワークを使用しないことです。

個人の銀行業務:モバイルデータで携帯電話を使用
医療情報:個人デバイス、モバイルデータを使用
プライベート通信:個人の携帯電話を使用
機密性の高い閲覧:モバイルホットスポットに切り替え

なぜ有効か

  1. 企業ネットワークをバイパス:モバイルデータは企業インフラを経由せず、キャリアに直接接続します
  2. 企業CAがインストールされていない:個人の携帯電話の信頼ストアには企業CA証明書がありません
  3. SSL傍受は不可能:企業CAがなければ、プロキシは信頼された偽の証明書を生成できません
  4. ログなし:会社はネットワークに触れないトラフィックを記録できません

重要な違い:たとえ個人の携帯電話がモバイルデータ経由で何らかの方法で企業プロキシに接続したとしても、SSL傍受は失敗します。なぜなら、携帯電話は偽の証明書を拒否するからです—企業CAは信頼されていません。

制限

  • モバイルデータプランのデータ上限
  • 企業WiFiより速度が遅い
  • 大きなダウンロードには実用的でない

2. 証明書発行者を確認する

機密情報を入力する前に、証明書発行者を確認してください。

# ブラウザでの簡単な確認
1. 南京錠アイコンをクリック
2. 証明書を表示
3. 「発行者」フィールドを確認
4. 企業CAの場合 → 傍受されている
5. 続行する前にモバイルデータに切り替え

警告サイン

  • 発行者:「企業IT」、「Blue Coat」、「Zscaler」、「Palo Alto Networks」
  • 発行者組織が会社名と一致
  • すべてのドメインに有効な証明書(ワイルドカードプロキシ証明書)

3. 証明書ピンニングアプリケーションを使用する

一部のアプリケーションは証明書ピンニングを実装しています—特定の証明書のみを受け入れ、プロキシ証明書を拒否します。

証明書ピンニングを備えたアプリケーション

  • 銀行アプリ(モバイル)
  • パスワードマネージャー(1Password、LastPass)
  • VPNクライアント
  • 一部のエンタープライズアプリケーション
  • Apple Push Notification Service(APNS)

仕組み

# アプリケーションは期待される証明書フィンガープリントを持っている
expected_cert_hash = "sha256/AAAAAAAAAA..."

# 接続時、証明書を検証
if actual_cert_hash != expected_cert_hash:
    raise SecurityError("証明書の不一致")
    # 接続失敗、プロキシは傍受できない

結果:アプリケーションはプロキシ経由の接続を拒否します。成功した傍受の代わりに接続エラーが表示されます。

4. 企業デバイスでの機密活動を避ける

企業管理デバイスには企業CA証明書が事前にインストールされています。管理者権限なしでは削除できません。

企業ノートパソコン:すべてが監視されていると仮定
個人ノートパソコン:企業CAがインストールされているか確認
個人の携帯電話:証明書ストアを確認
BYODデバイス:MDMから企業CAがインストールされている可能性

ベストプラクティス:個人活動と仕事活動を異なるデバイスで完全に分離します。

5. エンドツーエンド暗号化メッセージングを使用する

一部のメッセージングアプリは、SSL傍受があっても安全なエンドツーエンド暗号化を提供します。

Signal、WhatsApp、iMessage

  • メッセージはデバイス上で暗号化
  • プロキシは暗号化されたメッセージデータを見るが、内容は見えない
  • プロキシはメタデータを見る(誰にメッセージを送るか、いつ、メッセージサイズ)
  • メッセージ内容はプライベートのまま

重要:プロキシはこれらのアプリを使用していることを見ることができ、メタデータを見ることができます。メッセージ内容のみが保護されます。

Apple Push Notification Service(APNS)がプロキシをブロックする理由

Apple Push Notification Serviceは、証明書ピンニングを使用してSSL傍受プロキシを拒否するように設計されています。

APNS証明書ピンニングの仕組み

1. iOSデバイスがAPNSに接続 (17.0.0.0/8)
2. APNSが証明書を提示
3. iOSがピンされたApple証明書に対して証明書を検証
4. 証明書が一致しない → 接続失敗
5. 通知が機能しなくなる

SSL傍受時に起こること

1. iOSデバイスがAPNSへの接続を試みる
2. 企業プロキシが接続を傍受
3. プロキシが偽の証明書を提示(企業CAによって署名)
4. iOSがピンされたApple証明書と比較
5. 不一致を検出 → 接続拒否
6. 結果:プッシュ通知が失敗

Appleがこれを行う理由

セキュリティ:機密データを含む可能性のあるプッシュ通知への中間者攻撃を防ぎます。

プライバシー:Apple—企業プロキシではなく—が通知インフラストラクチャを制御することを保証します。

整合性:通知配信の改ざんを防ぎます。

企業の回避策

SSL傍受を使用する企業は、直接接続を許可するためにAPNSをホワイトリストに登録する必要があります:

# プロキシ設定:APNSのSSL傍受をバイパス
bypass_ssl_interception:
  - 17.0.0.0/8          # APNS IP範囲
  - *.push.apple.com    # APNSドメイン
  - *.courier.push.apple.com

結果:APNSトラフィックはプロキシを完全にバイパスし、Appleに直接接続します。通知は機能しますが、このトラフィックは検査できません。

傍受をブロックする他のサービス

Google Cloud Messaging (GCM/FCM)

  • Androidプッシュ通知
  • 証明書ピンニングを使用
  • プロキシバイパスが必要

Microsoft Teams/Office 365

  • 一部のエンドポイントが証明書ピンニングを使用
  • 完全な機能のために選択的バイパスが必要

銀行および金融アプリ

  • ほとんどが証明書ピンニングを実装
  • 傍受プロキシ経由では接続できない

VPNクライアント

  • 中間者攻撃を検出するように設計
  • 傍受プロキシ経由の接続を拒否

💡 接続失敗は保護を示す

企業WiFiでアプリが接続できないがモバイルデータでは機能する場合、証明書ピンニングを使用している可能性があります。これは傍受からあなたを保護するセキュリティ機能です。

ネットワーク上のSSL傍受を検出する

方法1:証明書発行者チェック

# 複数の人気サイトを確認
for site in google.com facebook.com neo01.com github.com; do
  echo "=== $site ==="
  echo | openssl s_client -connect $site:443 2>/dev/null | \
    openssl x509 -noout -issuer -subject
  echo
done

期待:異なる発行者(Google Trust Services、DigiCert、Let’s Encrypt)

傍受あり:すべて同じ企業CA発行者を表示

方法2:ブラウザ証明書ビューア

複数のHTTPSサイトを訪問して証明書を確認:

1. https://google.com を訪問 → 発行者を確認
2. https://github.com を訪問 → 発行者を確認
3. https://neo01.com を訪問 → 発行者を確認

期待:異なる発行者
傍受あり:すべて企業CAによって発行

方法3:信頼されたルート証明書を確認

Windows

1. Win+Rを押す → certmgr.msc
2. ナビゲート:信頼されたルート証明機関 → 証明書
3. 探す:企業名、「Blue Coat」、「Zscaler」、「Palo Alto」
4. 見つかった場合:SSL傍受が設定されている

macOS

1. 開く:キーチェーンアクセス
2. 選択:システム → 証明書
3. 探す:企業CA証明書
4. 信頼設定を確認:「常に信頼」= 傍受が有効

Linux

# 信頼された証明書を確認
ls /etc/ssl/certs/ | grep -i "corporate\|company\|proxy"

# または特定の証明書を確認
openssl x509 -in /etc/ssl/certs/corporate-ca.pem -text -noout

方法4:オンライン検出ツール

SSL Labs SSLテスト

訪問:https://www.ssllabs.com/ssltest/viewMyClient.html
確認:「証明書発行者」フィールド
期待:標準的な公開CA
傍受あり:企業CA名

HowsMySSL

訪問:https://www.howsmyssl.com/
確認:証明書情報
探す:予期しない発行者または警告

企業ネットワークでのプライバシーのベストプラクティス

すべてが監視されていると仮定する

✓ すべてのウェブ閲覧(HTTPおよびHTTPS)
✓ すべてのメール(企業および個人のウェブメール)
✓ すべてのファイル転送
✓ すべてのインスタントメッセージング
✓ すべてのビデオ通話(メタデータ、場合によってはコンテンツ)
✓ すべてのダウンロードとアップロード

心構え:企業ネットワークを経由する場合、記録され、検査される可能性があると仮定してください。

個人活動と仕事活動を分離する

仕事活動:
- 企業ノートパソコンを使用
- 企業ネットワークを使用
- 企業アカウントを使用
- 完全な監視を仮定

個人活動:
- 個人デバイスを使用
- モバイルデータまたは自宅ネットワークを使用
- 個人アカウントを使用
- 完全に分離

企業ネットワークで個人認証情報を入力しない

❌ しない:企業ノートパソコンで個人銀行にログイン
❌ しない:企業WiFiで個人メールを確認
❌ しない:企業ネットワークを使用してオンラインショッピング
❌ しない:職場で医療記録にアクセス

✓ する:モバイルデータで個人の携帯電話を使用
✓ する:帰宅するまで待つ
✓ する:個人デバイスでVPNを使用(許可されている場合)

会社の利用規定を読む

確認すべき重要なセクション:
- 監視および監視ポリシー
- プライバシーの期待(通常:なし)
- 禁止されている活動
- 個人使用ガイドライン
- データ保持ポリシー
- ログへのアクセス権を持つ人

重要:利用規定に違反すると、活動が合法であっても解雇される可能性があります。

機密通信には暗号化メッセージングを使用する

機密性の高い個人通信の場合:
✓ Signal(エンドツーエンド暗号化)
✓ WhatsApp(エンドツーエンド暗号化)
✓ iMessage(エンドツーエンド暗号化)

避ける:
❌ SMS(暗号化されていない)
❌ 通常のメール(エンドツーエンド暗号化されていない)
❌ Slack/Teams(会社がアクセス可能)

注意:プロキシはメタデータ(誰、いつ、メッセージサイズ)を見ることができますが、コンテンツは見えません。

法的および倫理的考慮事項

企業が合法的に監視できるもの

ほとんどの管轄区域では、企業は以下を監視できます:

✓ 企業所有のネットワーク上のすべてのトラフィック
✓ 企業所有のデバイス上のすべての活動
✓ 企業アカウントを使用したすべての通信
✓ 企業システムに保存されたすべてのデータ

法的根拠:企業はネットワークとデバイスを所有し、従業員は利用規定を通じて同意します。

従業員の権利

限定的なプライバシー権

  • 一般的に企業リソースに対するプライバシーの期待はない
  • 一部の管轄区域では監視前の通知が必要
  • 個人デバイスはより多くの保護を受ける可能性(BYOD)

確認すべきこと

- ポリシーは監視前の通知を要求しているか?
- 個人デバイスの監視に制限はあるか?
- SSL傍受をオプトアウトできるか?
- どのようなデータが保持され、どのくらいの期間か?
- 監視データへのアクセス権を持つのは誰か?

倫理的考慮事項

正当なビジネス目的

  • セキュリティ脅威の検出
  • データ漏洩防止
  • コンプライアンス監視
  • 帯域幅管理

潜在的な行き過ぎ

  • 休憩時間中の個人活動の監視
  • 機密性の高い個人情報へのアクセス
  • 明確なビジネス上の正当性のない監視
  • 必要以上に長くデータを保持

⚠️ あなたの権利を知る

プライバシー法は国や地域によって異なります。EU GDPRは米国法よりも強力な保護を提供します。あなたの権利を理解するために、地域の規制と会社のポリシーを確認してください。

IT管理者が考慮すべきこと

透明性と信頼

監視について透明性を保つ

✓ SSL傍受が使用されていることを明確に伝える
✓ 何が監視され、なぜ監視されるかを説明
✓ 利用規定に文書化
✓ 従業員にトレーニングを提供
✓ 個人活動の代替手段を提供

信頼を構築

  • 監視をビジネス目的に限定
  • 監視データへのアクセスを制限
  • 明確なデータ保持ポリシーを実装
  • 可能な限り従業員のプライバシーを尊重

選択的SSL傍受

すべてを傍受しないでください。検査が不要なカテゴリをホワイトリストに登録:

# 以下のSSL傍受をバイパス:
bypass_categories:
  - Healthcare(HIPAA準拠)
  - Financial services(PCI-DSS準拠)
  - Personal email(プライバシー)
  - Password managers(セキュリティ)
  - Government services(プライバシー)
  
# 傍受のみ:
intercept_categories:
  - File sharing(データ漏洩防止)
  - Unknown/uncategorized(セキュリティ)
  - High-risk categories(マルウェア防止)

利点

  • プライバシーの懸念を軽減
  • パフォーマンスの向上(復号化オーバーヘッドの削減)
  • 証明書ピンニングアプリケーションの破損を回避
  • 従業員の信頼を維持

機密データを適切に処理

✓ 監視ログを暗号化
✓ セキュリティチームのみにアクセスを制限
✓ 監査ログを実装(誰が何にアクセスしたか)
✓ 機密データの自動編集(パスワード、クレジットカード)
✓ 明確な保持ポリシー(90日後に削除)
✓ インシデント対応手順(いつ調査するか)

代替手段を提供

✓ 個人デバイス用のゲストWiFi、SSL傍受なし
✓ 個人活動のためのモバイルデータ補助
✓ 明確な休憩時間ポリシー(個人使用を許可)
✓ 特定のユースケースのためのVPNバイパス

選択をする

企業SSL傍受は強力なセキュリティツールですが、重大なプライバシーへの影響を伴います。企業にとっては、脅威検出、データ漏洩防止、コンプライアンス監視を可能にします。従業員にとっては、企業ネットワーク上で事実上プライバシーがないことを意味します。

技術自体は良くも悪くもありません—重要なのはそれがどのように使用されるかです。明確なポリシーと従業員のプライバシーを尊重した透明な展開は信頼を構築します。通知なしの秘密監視は信頼を損ない、規制に違反する可能性があります。

従業員の場合、企業ネットワーク上にどのような監視が存在するかを理解してください。証明書発行者を確認し、利用規定を読み、個人デバイスでモバイルデータを使用して個人活動を行ってください。南京錠アイコンはプライバシーを保証しません—最初の傍受ポイントまでの暗号化のみを保証します。

IT管理者の場合、セキュリティニーズとプライバシーの懸念のバランスを取ってください。監視について透明性を保ち、選択的傍受を実装し、個人活動の代替手段を提供してください。セキュリティとプライバシーは相互排他的ではありません—どちらも不可欠です。

何が監視されているかを知ってください。トレードオフを理解してください。企業ネットワーク上で何をするかについて情報に基づいた決定を下してください。

シェア