サーバーの構築者・管理者等向け「TLS暗号設定ガイドライン」公開-IPA

IPA(独立行政法人情報処理推進機構)セキュリティセンターは、2015年以降のSSL/TLS(*1)通信の規格化およびサポートの状況を踏まえ、2020年3月時点におけるTLS通信での安全性と相互接続性のバランスを考慮したウェブサーバーでのTLS暗号設定方法をまとめた「TLS暗号設定ガイドライン」を公開した。

各種インターネットサービスでは、安全に通信する仕組み(プロトコル)としてSSL/TLS通信が標準的に利用されています。そのSSL/TLS通信は1994年のプロトコル開発以来、その時々のセキュリティ対策を組み込んだ結果、複数のバージョンが作られてきたという経緯がある。これにより、一口にSSL/TLS通信といっても、ウェブサーバーとブラウザーの設定次第で実現される安全性が異なるという問題があった。

IPAではこれまでにSSL/TLS暗号設定ガイドラインを2版公開(*2)しているが、第2版の発行後、記載内容に大きく影響するSSL/TLS通信の規格化が相次いで行われ、改訂が望まれていた。

この度公開した「TLS暗号設定ガイドライン」は、前述の問題と技術環境の変化を反映させるため、暗号技術評価プロジェクトCRYPTREC(*3)が記載内容の全面的な見直しを行っている。
尚、本ガイドラインはサーバーの構築者および管理者、サーバーの構築を発注するシステム管理者を想定読者として作成されている。

  • ● ガイドラインの特長
    1. 2020年3月時点におけるTLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した、3つの設定基準(*4)を提示。
    2. 設定基準に対応するプロトコルバージョン、サーバー証明書、暗号スイートの詳細な要求設定(*5)を提示。
    3. 要求設定に基づいたサーバー設定を支援するチェックリスト及び参考ガイドを用意。
  • ● 従来の暗号設定ガイドライン(Ver.1、2)との差異
    1. TLS1.3の採用及びSSL3.0の禁止に伴い、一段高い安全性を各設定基準に要求
      既存のSSL/TLS暗号設定ガイドラインを利用している場合は、最新版の要求設定に基づいた見直しを行い、必要に応じた設定変更を推奨する。
    2. 要求設定において、従来の「遵守項目」に「推奨項目」を追加
      これまでの、必ず満たさなければならない「遵守項目」に加え、よりよい安全性を実現するために満たすことが望ましい「推奨項目」を追加。
      それは、サーバーによっては「遵守項目」であるにも関わらず、その通りに設定できない事例が多数あり、こうしたケースを推奨項目と位置付けたためである。これにより現実的かつ実効性が高い要求設定が可能になる。
    3. チェックリスト及び参考ガイドの改訂
      ・チェックリスト
      「選択した設定基準に対応した要求設定項目の設定忘れの防止」と「サーバー構築の作業受託先が適切に要求設定項目を設定したことを確認」するためのリストを改訂。
      ・参考ガイド:サーバー設定編・暗号スイート設定編
      主要なオープンソースを利用したサーバーでの具体的な設定を支援するためのガイドで、見直された要求設定に準拠する具体的な設定方法を解説。

「TLS暗号設定ガイドライン」、「チェックリスト」、及び参考ガイド(「TLS暗号設定 サーバ設定編」と「TLS暗号設定 暗号スイート編」)は以下のURLからダウンロードできます。

URL:https://www.ipa.go.jp/security/vuln/ssl_crypt_config.html

本ガイドライン、チェックリストおよび参考ガイドが広く活用され、ウェブサーバーで適切なTLS暗号設定が行われることにより、安全なインターネット社会の実現の一助となることをIPAでは期待している。

【注釈】

  • (*1)SSL(Secure Socket Layer )/TLS(Transport Layer Security):インターネット通信を暗号化する技術
  • (*2)2015年5月にVer.1、2018年5月Ver.2。https://www.ipa.go.jp/security/vuln/ssl_crypt_config.html
  • (*3)CRYPTREC(クリプトレック)総務省及び経済産業省が共同で運営する暗号技術検討会と、国立研究開発法人情報通信研究機構(NICT)及び独立行政法人情報処理推進機構(IPA)が共同で運営する暗号技術評価委員会及び、暗号技術活用委員会で構成される。https://www.cryptrec.go.jp/about.html
  • (*4)「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」の区分け基準のこと
  • (*5)設定基準で選択した区分けに必要な、設定すべき具体的な要求事項のこと

本内容は、IPA様のプレスリリースを元に作成しております。
ソース:https://www.ipa.go.jp/about/press/20200707.html

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 「セキュリティの未来は雲の中に」SASEはDXの切り札か(前編)

  2. シリーズ『IDaaSの教科書』4)認証強化の種類とその仕組み

  3. テレワークとIT業務委託のセキュリティ実態調査-IPA

  4. 「ゼロから学ぶ」セキュリティ脅威(基礎編) #2 どうやって守り、その手法は?

  5. ”ウィズコロナ”時代の情シス業務

  6. 【情報セキュリティ10大脅威 2021】ニューノーマルな働き方を狙った攻撃がランクイン-IPA

  7. 「ゼロから学ぶ」セキュリティ脅威(基礎編) #1 セキュリティは何を守るのか

  8. いまさら聞けない【情シス知識】暗号化ファイルのメール添付はなぜ危険!?

  9. シリーズ『IDaaSの教科書』3)徹底解説!SSOの仕組みを理解する

  10. 松田軽太の「一人情シスのすゝめ」#16:RPAやローコード開発を導入検討中の方は要注意

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. 多忙な日常業務を送る情シスの皆さん。範囲が広く技術の底が深いセキュリティについて「実は把握できていな…
  2. 多忙な日常業務を送る情シスの皆さん。範囲が広く、そして技術の底も深いセキュリティについて「実は把握で…
  3. WordファイルやExcelファイルなどの編集が終わったら、パスワード付きでZIP圧縮。メールにZI…
  4. Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。…
  5. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
ページ上部へ戻る