調査

デフォルトでは安全性より相互接続性を重視--IPAの「SSL/TLSアプライアンス調査」

NO BUDGET

2016-11-17 07:00

 独立行政法人情報処理推進機構(IPA)技術本部 セキュリティセンターは11月8日、一般に販売されているSSL/TLSを利用するアプライアンス製品について、どのようなSSL/TLS設定が可能か、IPAが公開している「SSL/TLS暗号設定ガイドライン」にどれだけ準拠できるか、などをまとめた「SSL/TLSアプライアンス製品の暗号設定方法等の調査報告書」を公開した。 こちらからダウンロードできる。


今回の調査を実施した環境の概要図。図中の調査ツールとしては、NTTソフトウェアの「TLS 暗号設定確認ツール」を使用したとのこと

 IPAでは2015年5月に、暗号技術評価プロジェクトCRYPTRECの活動を通じ、オンラインショッピング、インターネットバンキング、ネットトレードなどのサービスで使用するSSL/TLSプロトコルの適正な利用促進を目的として、SSL/TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにすべくSSL/TLS暗号設定ガイドラインを公開している。

 今回の報告書は、このガイドライン公開後に一般に販売されているSSL/TLSアプライアンス製品の設定方法などへの要望が多数寄せられたことを受けて、調査を実施して結果をまとめたもの。調査対象は14製品で、うち2製品はSSL/TLSの設定方法が本調査で想定する調査条件と異なることから解説から除外、本報告書では12製品について設定方法などを解説している。

 IPAでは、本報告書をきっかけとして製品マニュアルにSSL/TLSに関する設定・変更方法が分かりやすく記載されるなどの整備・提供が進むことや、ひいては製品利用者が適切な設定をもれなく実施するようになることを期待しているとのこと。

 報告書の概要は以下の通り。

  • デフォルトでの暗号設定内容の調査
  •  対象製品について、実際に動作環境を構築し、デフォルト設定でのプロトコルバージョン、暗号スイートなどの暗号設定内容を調査した。

     通常、SSL/TLSアプライアンス製品のデフォルト設定は安全性よりも相互接続性を重視しており、調査の結果、設定ガイドラインの推奨セキュリティ型の要求設定項目に11製品が準拠していないこと、また高セキュリティ型の要求設定項目に12製品すべてが準拠していないことが裏付けられたという。

  • 暗号設定方法の調査
  •  SSL/TLSに関して、プロトコルバージョンや暗号スイートなどについてどのような暗号設定が可能であるかを調査し、その設定方法を取りまとめた。なお、設定時に操作方法がわかりやすく伝わるよう、画面キャプチャを用いて設定手順を示している。

  • 暗号設定内容と設定ガイドラインでの設定要求との差分の調査・分析
  •  設定ガイドラインでの設定要求にもっとも準拠していると思われる暗号設定内容になる暗号設定方法を調査。その際、設定ガイドラインに記載の高セキュリティ型、推奨セキュリティ型、セキュリティ例外型という3種類の設定要求について、各々調査・分析を行った。

     その結果、12製品が推奨セキュリティ型に、9製品が高セキュリティ型の要求設定項目に準拠できることが分かった。またセキュリティ例外型では、セキュリティ例外型をサポート外の1製品を除いた11製品すべてで準拠可能。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]