「SSLインスペクションを有効にしたら通信ができなくなった」
「特定のWebサイトやAPIだけ接続できない」
「アプリ通信が突然失敗するようになった」
これらのトラブルは、SSLインスペクションの仕組みを正しく理解していないことが原因で発生します。
本記事では、SSLインスペクションが通信障害を引き起こす理由を、 通信の流れ・証明書・実務での失敗パターンを交えて解説し、 安全に運用するための回避策まで整理します。
SSLインスペクションとは
SSLインスペクション(SSL Inspection / HTTPS Inspection)とは、 暗号化されたSSL/TLS通信をFWやプロキシで一度復号し、中身を検査する仕組みです。
基本的な動作
- クライアント → FW(SSL復号)
- FW → サーバ(再暗号化)
通信経路上でFWが「中間者」になる点が最大の特徴です。
SSLインスペクション時の通信の流れ
- クライアントがHTTPS通信開始
- FWがサーバ証明書を受信
- FWが独自の証明書を生成
- クライアントへ再署名証明書を提示
この時、証明書・暗号・TLS仕様の不一致があると通信は失敗します。
SSLインスペクションが通信障害を起こす主な理由
① クライアントがFWの証明書を信頼していない
SSLインスペクションでは、 FWが発行する再署名証明書をクライアントが信頼する必要があります。
- FWのCA証明書が未配布
- 端末の信頼ストアに未登録
→ TLSハンドシェイク失敗
② 証明書ピンニング(Certificate Pinning)
一部のアプリやサービスは、 サーバ証明書を固定で検証します。
- 金融系アプリ
- 一部のAPI通信
- モバイルアプリ
SSLインスペクションによる証明書差し替えで、通信が拒否されます。
③ TLSバージョン・暗号スイート非対応
FWが対応していない暗号方式を使っている場合、 ハンドシェイク自体が成立しません。
- TLS1.3 非対応FW
- 最新暗号スイート未対応
④ クライアント認証(mTLS)通信
双方向TLS(mTLS)では、 クライアント証明書を使用します。
SSLインスペクションが入ると、 クライアント証明書が正しく転送されず失敗します。
⑤ SNI / ALPN 処理不備
近年のHTTPS通信では、 SNI(Server Name Indication)やALPNが重要です。
FWの処理が追従できないと、接続先誤認や失敗が発生します。
よくある症状
- 特定サイトだけ表示できない
- API通信のみ失敗
- アプリが起動しない
- ブラウザで証明書エラー
確認手順①:SSLインスペクション有無の確認
- FWポリシーでHTTPS検査が有効か
- 通信が復号対象になっていないか
確認手順②:証明書チェーンの確認
openssl s_client -connect example.com:443FW経由時と直通時で、 表示される証明書が異なるかを確認します。
実務での回避策
① SSLインスペクション除外設定
- 金融・認証系サイト
- API通信
- mTLS通信
すべてを検査しない判断が重要です。
② FW証明書の正しい配布
- 社内端末へCA証明書配布
- MDM / GPO 活用
③ FWソフトウェアの更新
- TLS1.3対応
- 最新暗号スイート対応
改善後の結果例
- HTTPS通信が安定
- 特定アプリの接続失敗が解消
- 証明書エラー消失
SSLインスペクション導入時の考え方
- 「検査できる通信」と「すべき通信」を分ける
- 可用性とセキュリティのバランス
まとめ
- SSLインスペクションは万能ではない
- 証明書とTLS仕様理解が必須
- 除外設計が品質を左右する
SSLインスペクションは強力な機能ですが、 設計を誤ると通信障害の原因になります。 「見ない勇気」も、実務では重要な判断です。
