Skip to main content

Fujitsu

Japan

SSLアクセラレーターの必要性

富士通のネットワークサーバIPCOM(アイピーコム)に搭載されているSSLアクセラレーターの導入効果について解説します。


掲載日:2006年6月6日
更新日:2006年11月7日

はじめに

SSLは、インターネット上で最も良く使われている暗号技術です。
SSLは、通信内容を暗号化して盗聴を防ぐ機能のほかに、サーバ証明書を確認してなりすましを防ぐ機能があり、インターネット上でビジネスを行う上で欠かせない技術です。 今日、個人情報の保護法の対応やEC(電子商取引)の拡大により、SSL通信の割合は増加する一方です。

SSL通信を実現するためには、Webサーバ自身でSSLの処理を行う方法と、暗号処理専用のハードウェアを搭載した「 SSLアクセラレーター」を使用する方法があります。
この記事では、SSLアクセラレーターと、その効果について説明します。

SSL通信を使用する上での課題

通常、WebブラウザとWebサーバの間のプロトコルは http ですが、httpをSSLで暗号化した物をhttpsと呼んでいます。 "https://~"で始まるURLは、WebブラウザとWebサーバの通信が、SSLで暗号化される事を意味します。
SSL通信を行う場合、基本的な方法はWebサーバのソフトウェアでSSLの処理を行う方法ですが、この場合に注意しなければならない事が二つあります。

ひとつは、SSLで使用する暗号アルゴリズムの演算処理が、WebサーバのCPUにとって負担が大きいことです。 ブラウザ側では、通常ユーザひとり分の暗号処理しか行わないので、あまり問題にはなりませんが、多くのユーザの暗号処理を同時に行うサーバ側では、大きな負担になります。 実際、httpsのサービスを行うWebサーバでは、その能力の半分以上を暗号処理に費やします。 提供するサービスが同じでも、httpで通信する場合とhttpsで通信する場合では、Webサーバの処理能力が大きく違ってくるので、システム構築の際には注意が必要です。

通信相手が多いと、暗号処理の負荷が無視できない。
図 1. SSL通信を使用する上での課題

もうひとつは、負荷分散装置やファイアーウォールの様に、通信内容を読み取りながら働くネットワーク機器を併用する場合です。 通信が暗号化されていると、これらの装置は本来持っている機能を十分に発揮する事が出来なくなります。

例えば負荷分散装置の場合、通常はhttpリクエストに含まれるURL/ヘッダ/Cookie等の情報を判別して、URLによる分散やセッション維持の動作を制御しています。 通信が暗号化されたhttpsの場合には、これらの情報が一切見えなくなるために、最も単純な負荷分散機能しか利用できなくなります。

SSLアクセラレーターによる解決

上記の課題を解決する手段として、SSLアクセラレーターを採用する方法があります。

SSLアクセラレーターを使用する場合、ブラウザからのhttpsのリクエストは、まずSSLアクセラレーターが受け取ります。 SSLアクセラレーターは、通信内容を復号して、httpのリクエストとしてWebサーバに送ります。 Webサーバからの応答は、SSLアクセラレーターが受け取り、暗号化した後にブラウザに送られます。 Webサーバは暗号処理を行う必要がなくなるので、サーバ本来の処理に専念できます。 SSLアクセラレーターは、暗号処理専用に設計されたハードウェアにより、サーバのソフトウェアで暗号処理を行う場合に比べて、高い処理性能を低コストで提供できます。

暗号処理をSSLアクセラレーターで行うと、サーバは本来の処理に専念できる。
図 2. SSLアクセラレーターによる解決-1

負荷分散装置などを利用する場合は、SSLアクセラレーターとWebサーバの間に配置します。この位置では、通信は暗号化されていないため、これらの装置の機能を最大限に利用できます。 または、負荷分散装置の場合には、SSLアクセラレーターを内蔵したモデルも用意されているため、その様なモデルを採用しても良いでしょう。

暗号化されていないので、本来の機能を発揮できる。
図 3. SSLアクセラレーターによる解決-2

富士通のSSLアクセラレーター(IPCOM)のラインナップ

富士通のSSLアクセラレーター IPCOMシリーズは、システムに合わせて搭載機能を追加し、段階的な統合を可能にすることにより、常にシステムに最適なネットワーク環境を実現します。

lineup_moreinfo.gif