HOMEIPAについて新着情報プレス発表 ウェブサーバ構築に用いる12種の SSL/TLSアプライアンス(*1)製品の暗号設定方法等を解説

本文を印刷する

IPAについて

プレス発表 ウェブサーバ構築に用いる12種の SSL/TLSアプライアンス(*1)製品の暗号設定方法等を解説

~デフォルト設定では相互接続性が優先されているため、安全な使用には適切なSSL/TLS設定が必要~

2016年11月8日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)セキュリティセンターは、安全なSSL/TLS通信が利用できるよう、SSL/TLSアプライアンス製品について調査を実施し、12製品の具体的な暗号設定状況や設定方法等を詳述した「SSL/TLSアプライアンス製品の暗号設定方法等の調査報告書」を公開しました。

 URL:https://www.ipa.go.jp/security/fy28/reports/crypto_survey/index.html

 IPAでは2015年5月にオンラインショッピング、インターネットバンキング等のウェブサービスが安全に提供されるよう、ウェブサーバ構築者、運営者等を主な対象に「SSL/TLS暗号設定ガイドライン(暗号設定対策編)(*2)」(以後、“設定ガイドライン”)を公開しました。

 設定ガイドライン公開後、SSL/TLSアプライアンス製品の設定方法等への要望が多数寄せられました。そこで、合計14個のSSL/TLSアプライアンス製品(別紙)を対象として実機調査を実施し(*3)、本報告書にて、うち12製品についての具体的な設定変更方法を画面キャプチャ等とともに、分かりやすく解説しました。

 調査内容は、①各製品におけるSSL/TLSに関するデフォルト設定内容、②各製品に用意されているSSL/TLSに関する設定方法、③設定ガイドラインに記載された3段階の各設定基準(表1)に対し、要求設定項目への準拠性が最も高くなる設定方法、の3点です。

 通常、SSL/TLSアプライアンス製品のデフォルト設定は安全性よりも相互接続性を重視しています。報告書には調査(1)を実施した結果として、設定ガイドラインの推奨セキュリティ型の要求設定項目に11製品が準拠していないこと、また高セキュリティ型の要求設定項目に12製品すべてが準拠していないことを裏付ける結果を記載しています(図1)。


図1 デフォルト設定での準拠状況(*4)


 一方で、調査(3)の結果、12製品が推奨セキュリティ型に、9製品が高セキュリティ型の要求設定項目に準拠できることがわかりました(*5)(図2)。


図2 設定変更後の準拠状況


 SSL/TLSアプライアンス製品を導入する場合、安全なSSL/TLS通信を行うため、デフォルト設定のままでなく、適切な設定変更を実施する必要があります。デフォルト設定のまま利用している場合はもとより、設定変更をしようにもその方法がわからない場合に、本報告書がマニュアルの役割を果たします。

 本報告書をきっかけとして製品マニュアルにSSL/TLSに関する設定・変更方法が分かりやすく記載されるなどの整備・提供が進むことや、ひいては製品利用者が適切な設定をもれなく実施するようになることを期待しています。



表1 安全性の確保と相互接続の必要性のトレードオフによる3段階の設定基準

設定基準 概要
高セキュリティ型
極めて高い安全性を確保してSSL/TLS通信を行う場合に採用する設定基準。非常に高いセキュリティレベルの暗号のみを利用する反面、アクセスできる機器が限定される。
※非常に高度で限定的な使い方をする場合の設定基準で、一般的な利用形態で使うことは想定していない
推奨セキュリティ型

安全性確保と相互接続性のバランスを考慮してSSL/TLS通信を行うための標準的な設定基準。一般的な利用形態において十分なセキュリティレベルを持つ暗号が利用され、一部の古い機器などを除くほとんどの機器で利用可能。
※ほぼすべての一般的な利用形態で使うことを想定している

セキュリティ例外型
安全性よりも相互接続性を優先させてSSL/TLS通信を行う場合に許容しうる最低限度の設定基準。ほぼ全ての機器で利用可能だが、脆弱な暗号が使われるなどの安全性上のリスクがあるため、推奨セキュリティ型への早期移行が完了するまでの暫定的な利用継続のケースを想定している。

脚注

(*1) SSL(Secure Socket Layer)/TLS(Transport Layer Security):インターネット通信を暗号化する技術で、今回の調査ではこれを終端とするロードバランサ製品、ウェブアプリケーションファイヤーフォール、ファイヤーウォール製品などを対象とした。

(*2)暗号技術評価プロジェクト“CRYPTREC”が作成したもので、ウェブサーバにおけるSSL/TLSの暗号設定について安全性と相互接続性のバランスを踏まえた3段階の設定基準と各々の設定基準が求める要求設定項目を提示。またガイダンスとしてウェブサーバ構築によく利用される4種のソフトウェア(Apache、Lighttpd、nginx、Microsoft IIS)の設定方法も例示。

(*3)調査対象製品は販売会社、代理店からの提供を受け実施。調査時期は2016年2月~6月。

(*4)図1で推奨セキュリティ型に準拠にしている1製品は、ECDSA証明書利用時の設定。

(*5)なお、セキュリティ例外型では、サポート外の1製品を除いた11製品すべてで準拠可能。

プレスリリースのダウンロード

資料のダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 稲垣/神田

Tel: 03-5978-7550 Fax: 03-5978-7514 E-mail: 電話番号:03-5978-7550までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 山北/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。