プロトコルの脆弱(ぜいじゃく)性の問題から、レガシーなSSL 3.0やTLS 1.0/1.1を無効化し、より安全なTLS 1.2以降を使用することが推奨されています。常時SSL化され、TLS 1.2以降での接続を要求するWebサイトやサービスも増えてきました。SSL/TLSはMicrosoft Azureのサービスへの接続やデータ転送の保護に重要なプロトコルですが、業界の流れと同様に、各サービスでレガシーなプロトコルの廃止が進んでいます。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
2019年7月末、Microsoft Cloud App Securityチームが公式ブログにおいて、「Microsoft Cloud App Security」におけるTLS 1.0/1.1のサポートを2019年9月8日(米国時間)に終了することを発表しました。
Cloud App Securityは、企業や組織でエンドユーザーが利用しているクラウドアプリの検出とそのリスク評価(シャドーITの検出)、アプリの条件付きアクセス制御、リアルタイム監視、異常なアクティビティーの検出などを行えるクラウドベースのサービスです。
Cloud App SecurityのTLS 1.0/1.1サポート終了とは、TLS 1.2以降を利用できない場合にエージェントやログコレクターがサービスに接続できなくなる、サービスのAPIを利用するカスタムアプリケーションやコードがAPIのエンドポイントに接続できなくなるという影響があります。また、条件付きアクセス制御の対象となるクラウドアプリもTLS 1.2以降に対応していることが必須になります。
Windows OSや.NET FrameworkアプリのTLS 1.2対応状況と、有効化の方法については、以下のJapan IE Support Team Blogの投稿や公式ドキュメント(Microsoft Docs)にまとめられているので参考にしてください。
TLS 1.1の有効化についても説明されていますが、OSや.NET Frameworkのさまざまなバージョンの組み合わせにおけるTLS 1.2の有効化の部分に注目してください。特に、レガシーなWindows 7、Windows Server 2008 R2、Windows Server 2008 Service Pack 2(SP2)は、OSとしてはTLS 1.2に対応していますが、レジストリを作成して有効化しないとアプリケーションでTLS 1.2を利用できない場合があるので注意が必要です。
Cloud App Securityのように、事前にアナウンスがある場合もありますが、Microsoft Azureの他のサービスでも今後、TLS 1.2以降が必須化される流れにあることは間違いありません。既にTLS 1.2以降の使用の強制が開始されているものもあります。
Azure仮想マシンとオンプレミスのWindows/Linuxの更新管理が可能な「Azure Update Management」(更新プログラムの管理)では、筆者が確認した限り、2019年7月末時点でエージェントからサービスエンドポイントへの接続にTLS 1.2が要求されるようになったようです(正式なアナウンスはありません)。
Windows Server 2008 R2およびSQL Server 2008 R2を実行するAzure仮想マシンにおいて、7月末にUpdate Managementのエージェントが「切断」された状態になっているのを見て気が付きました(画面1)。7月上旬のセキュリティ更新の際は確かに正常な状態でした。
「トラブルシューティング」リンクから「エージェントの更新のトラブルシューティング」のチェックを実行すると、前提条件の「TLS 1.2」が失敗し、エンドポイントに接続できない状態にあることが分かります(画面2)。
Copyright © ITmedia, Inc. All Rights Reserved.