IPAセキュリティセンターは、WebサーバでのTLS暗号設定方法をまとめた「TLS暗号設定ガイドライン」の第3版を公開。暗号技術評価プロジェクトのCRYPTRECが記載内容を第2版から全面的に見直した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
独立行政法人 情報処理推進機構(IPA)セキュリティセンターは2020年7月7日、WebサーバでのTLS暗号設定方法をまとめた「TLS暗号設定ガイドライン」の第3版を公開した。2015年以降のSSL(Secure Socket Layer)/TLS(Transport Layer Security)通信の規格化とサポートの状況を踏まえ、「2020年3月時点でのTLS通信を利用した安全性と相互接続性のバランスを考慮した」としている。
IPAはこれまで「SSL/TLS暗号設定ガイドライン」として、2015年5月に第1版、2018年5月に第2版を公開してきた。第2版の発行後には、記載内容に大きく影響するSSL/TLS通信の規格が策定された。例えば、TLS 1.3の発行(RFC 8446)や、SSL 3.0の禁止(RFC 7525)、ChaCha20-Poly1305の追加(RFC 7905)、RC4の禁止(RFC 7465)などだ。
そこで暗号技術評価プロジェクトであるCRYPTREC(Cryptography Research and Evaluation Committees)が記載内容を全面的に見直し、第3版を発行した。なお、第3版の発行を機に、ガイドラインの名称を従来の「SSL/TLS暗号設定ガイドライン」から「TLS暗号設定ガイドライン」に変更した。
第3版の特徴は、大きく分けて次の3つ。
1つ目は、TLS通信で実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」という3つの設定基準を提示したこと。
高セキュリティ型は、特にセキュリティが重要視されるシステムに向けた設定で、安全性を優先してTLS通信をする。
推奨セキュリティ型は、一般的な利用形態を想定した設定で、例えば電子行政サービスや金融サービス、電子商取引サービスを提供する場合などだ。
Copyright © ITmedia, Inc. All Rights Reserved.