独立行政法人情報処理推進機構(IPA)技術本部 セキュリティセンターは11月8日、一般に販売されているSSL/TLSを利用するアプライアンス製品について、どのようなSSL/TLS設定が可能か、IPAが公開している「SSL/TLS暗号設定ガイドライン」にどれだけ準拠できるか、などをまとめた「SSL/TLSアプライアンス製品の暗号設定方法等の調査報告書」を公開した。 こちらからダウンロードできる。
今回の調査を実施した環境の概要図。図中の調査ツールとしては、NTTソフトウェアの「TLS 暗号設定確認ツール」を使用したとのこと
IPAでは2015年5月に、暗号技術評価プロジェクトCRYPTRECの活動を通じ、オンラインショッピング、インターネットバンキング、ネットトレードなどのサービスで使用するSSL/TLSプロトコルの適正な利用促進を目的として、SSL/TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにすべくSSL/TLS暗号設定ガイドラインを公開している。
今回の報告書は、このガイドライン公開後に一般に販売されているSSL/TLSアプライアンス製品の設定方法などへの要望が多数寄せられたことを受けて、調査を実施して結果をまとめたもの。調査対象は14製品で、うち2製品はSSL/TLSの設定方法が本調査で想定する調査条件と異なることから解説から除外、本報告書では12製品について設定方法などを解説している。
IPAでは、本報告書をきっかけとして製品マニュアルにSSL/TLSに関する設定・変更方法が分かりやすく記載されるなどの整備・提供が進むことや、ひいては製品利用者が適切な設定をもれなく実施するようになることを期待しているとのこと。
報告書の概要は以下の通り。
- デフォルトでの暗号設定内容の調査
- 暗号設定方法の調査
- 暗号設定内容と設定ガイドラインでの設定要求との差分の調査・分析
対象製品について、実際に動作環境を構築し、デフォルト設定でのプロトコルバージョン、暗号スイートなどの暗号設定内容を調査した。
通常、SSL/TLSアプライアンス製品のデフォルト設定は安全性よりも相互接続性を重視しており、調査の結果、設定ガイドラインの推奨セキュリティ型の要求設定項目に11製品が準拠していないこと、また高セキュリティ型の要求設定項目に12製品すべてが準拠していないことが裏付けられたという。
SSL/TLSに関して、プロトコルバージョンや暗号スイートなどについてどのような暗号設定が可能であるかを調査し、その設定方法を取りまとめた。なお、設定時に操作方法がわかりやすく伝わるよう、画面キャプチャを用いて設定手順を示している。
設定ガイドラインでの設定要求にもっとも準拠していると思われる暗号設定内容になる暗号設定方法を調査。その際、設定ガイドラインに記載の高セキュリティ型、推奨セキュリティ型、セキュリティ例外型という3種類の設定要求について、各々調査・分析を行った。
その結果、12製品が推奨セキュリティ型に、9製品が高セキュリティ型の要求設定項目に準拠できることが分かった。またセキュリティ例外型では、セキュリティ例外型をサポート外の1製品を除いた11製品すべてで準拠可能。
