今のままではSSL通信が使えなくなる? SHA-2証明書への移行ポイント - (page 2)

ZDNET Japan Ad Special

2014-07-01 12:00

[PR]現在は、多くのインターネットサービスがWebを通じて提供されている。しかし昨今は、サイバー犯罪者らがWebサイトを狙うケースが頻発しており、ユーザーが安全にWebサイトを利用できるように、できるかぎり「SSL暗号化通信」を用いることが望ましい。

WindowsでSHA-1廃止
SSL通信が使えなくなる!?

 安全面から考えれば、SHA-2への移行は必須の事柄である。しかし、これまでSHA-1を原因としたクリティカルなインシデントが公表されていないこともあり、積極的に動こうとするユーザーが少なかったのは事実だ。

 ところが、マイクロソフトが2013年11月に「ルート証明書プログラムでのSHA-1ハッシュアルゴリズムの廃止」を発表したことにより、対応が急務となりつつある。同社は、同社サービスでの SHA-1 SSLサーバ証明書の受け入れを2016年12月31日までとすることを発表した。


マイクロソフトが発表したSHA-1廃止のロードマップ(ロードマップの図版)

 <マイクロソフト セキュリティ アドバイザリ 2880823:https://technet.microsoft.com/ja-jp/library/security/2880823.aspx

 「Windows Serverをはじめとしたマイクロソフト製品のユーザーは、この期日までにSSLサーバ証明書をSHA-2ベースのものに移行しなければなりません。移行しなかった場合、実際にアクセス状態がどのようになるのかは、まだ明らかにされていません。しかし、例えばSHA-1のSSLサーバ証明書を設定しているウェブサーバにInternet Explorerでアクセスすると、警告が表示されるなどが考えられます。このような環境では、SHA-1ベースのSSL証明書は実質的に利用できないと思ってよいでしょう。」(近藤氏)

 ユーザーにとっては強制的な施行に映るかもしれないが、Windows Server 2003のサポート終了時期に重なることもあり、システムを総合的に見直すチャンスと考えてはいかがだろうか。近藤氏も「より安全性の高いSHA-2への移行は望ましいこと」と捉えている。

対応すべき範囲は広い
情報収集やテストを入念に行おう

 移行の際に必ず考慮しなければならないことは、暗号化通信を行うデバイス、サーバ、ソフトウェアのすべてが、SHA-2に対応しなければならないという点だ。

 「特に注意しなければならないのは古い携帯電話、いわゆるフィーチャーフォンの対応状況です。SHA-2に対応する機器は少なく、また特性上、出荷後のシステムアップデートが困難であるためです」(近藤氏)

 現在、スマートフォンのシェアが拡大しつつあるとは言え、国内ではまだ多くのユーザーがフィーチャーフォンを使っている。調査会社の発表によれば、2014年3月時点でも53%のシェアを持つという。自社のサービスがフィーチャーフォンユーザーもターゲットとするかどうか、自社のサービス自体がフィーチャーフォン向けであるユーザーは、大きな問題の1つである。

 <参考:http://www.m2ri.jp/newsreleases/main.php?id=010120140423500

 サーバ間でAPIを使って暗号化通信を行っているような場合も注意が必要だ。また、組み込み系システムの中にはソフトウェアアップデートが困難なものもあり、これらにも注意すべきであるという。

 「企業内にはさまざまなシステムが散在しており、古いアプリケーションが残っているケースも多々あります。独自システムやオープンソースソフトウェアなどを使っている場合は特に、自らアップデートしなければなりません」(近藤氏)

 GMOグローバルサインでは、有効期限内のサーバ証明書を保有しているユーザーであれば、SHA-1からSHA-256への再発行を無償で提供している。また新規ユーザーの場合は、同社が発行する証明書には無償でキャンセルできる期間が設けられているため、これを活用してテストすることも可能である。なお、ルート証明書は共通であるが中間CA証明書が異なるため、移行時には注意したい。

 「当社では、SHA-2への移行の不安や疑問を解消すべく、サポート窓口で細かに説明する体制を整えています。 また、SHA-2に関するセミナーを頻繁に実施します。実は、2014年5月に第1回を開催したのですが、募集人数の倍以上の応募があり、想像以上の反響に驚きました。国内においては、欧米に比べてSHA-2への移行が遅れている状況ですが、多くのユーザーが懸念をお持ちであるようです」

 同社では、Webサイトでも移行の必要性やポイントを解説しており、今後も各種のデータやコンテンツなどを拡充していく予定とのことだ。ぜひ参考にしていただきたい。

リミットは2016年末
SHA-2への移行は待ったなし!

 WindowsにおけるSHA-1のサポート終了を切り替えポイントとすれば、2016年12月末までの期間がある。取材時では、のこり2年半ほどだ。しかし、この時間は決して長いとは言えない。

 「Webブラウザやサーバ、携帯電話、アプリケーションなどの自社システムのほか、取引先のシステムやサービスのユーザー状況など、調査・対応すべき対象は多岐に渡ります。また、システムやサービスのインフラに関わる部分であるため、十分にテストしなければ、安定運用することは困難です。調査やテストにかかる時間は環境によって大きく異なりますが、場合によっては大きく時間を割く必要があるかもしれません」(近藤氏)

 現状、マイクロソフトよりSHA-1証明書に関する利用制限が発表されている。今後、その他のサービスブラウザベンダーなどから同様の発表がある可能性は、大いにある。SHA-2へ移行しなければならない時期は、必ずやって来る。そのときに慌てることのないよう、早めの対策を行いたい。

今回協力していただいたGMOグローバルサイン株式会社

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル
  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは
  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策
  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性
  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

マイナンバーカードの利用状況を教えてください

投票する

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]