HOME情報セキュリティ情報セキュリティ対策脆弱性対策TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~

本文を印刷する

情報セキュリティ

TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~

最終更新日:2020年7月17日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

 「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。

なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。

「TLS暗号設定ガイドライン」の内容

  • 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識をまとめています。
  • 3章ではTLSサーバに要求される設定基準の概要について説明しています。
  • 4章から6章では、3章で定めた設定基準に基づき、プロトコルバージョン、サーバ証明書、暗号スイートについての具体的なTLSサーバの要求設定について示しています。選択した設定基準としての最低限の安全性を確保するために必ず満たさなければならない「遵守項目」と、当該設定基準としてよりよい安全性を実現するために満たすことが望ましい「推奨項目」とがあります。ここでの要求設定は別紙のチェックリストで確認が求められる項目となります。
  • 7章では、チェックリストの対象には含めていませんが、TLSを安全に使うために考慮すべき事項をまとめています。
  • 8章は、クライアントの一つであるブラウザの設定に関する事項を説明しており、ブラウザの利用者に対して啓発するべき事項を取り上げています。
  • 9章は、そのほかのトピックとして、TLSを用いたリモートアクセス技術(“SSL-VPN”とも言われる)について記載しています。
  • Appendixには、4章から6章までの設定状況を確認するためのチェックリスト等を記載しています。
  • チェックリストは、「選択した設定基準に対応した要求設定項目の設定忘れの防止」と「サーバ構築の作業受託先が適切に要求設定項目を設定したことの確認」を行うために利用できるように作られています。

資料のダウンロード

TLS暗号設定ガイドライン

実際にどの設定基準を採用するかは、安全性の確保と相互接続の必要性の両面を鑑みて、サーバ管理やサービス提供に責任を持つ管理者が最終的に決定すべきことですが、安全性もしくは相互接続性についての特段の要求がなければ「推奨セキュリティ型」の採用を推奨します。

なお、以前のSSL/TLS暗号設定ガイドライン(version 1.x/2.x)から一段階高い安全性を求めるようになった要求設定項目も多いため、SSL/TLS暗号設定ガイドライン(version 1.x/2.x)を利用している場合には、本ガイドラインでの要求設定に基づいた見直しを行い、必要に応じて設定変更を実施することを強く推奨します。

TLS暗号設定ガイドライン表紙
ガイドライン (2020年7月7日第3.0.1版公開)
参考資料
一括ダウンロード

参考情報

アンケートのお願い

まもるくんからのお願い   ◆アンケートのお願い
 7月7日公開の「TLS暗号設定ガイドライン第3.0版」に関してのアンケート
 を実施しております。よろしければ今後のサービス向上を図るため、
 本レポートに関するアンケートにご協力ください。  

アンケート画面へ

本件に関するお問い合わせ先

IPA セキュリティセンター
TEL:03-5978-7545 FAX:03-5978-7548 E-mail: アイ・エス・イー・シー・ハイフン・アイ・エヌ・エフ・オー @ ipa.go.jp

更新履歴

2020年7月17日
参考資料に「サーバ設定編&暗号スイートの設定例 (Windows IIS用)」を追加。
2020年7月7日
Appendix AでのURL誤植を修正(v3.0.1)。
2020年7月7日
「TLS暗号設定ガイドライン」第3.0版を掲載。
2018年5月8日
「SSL/TLS暗号設定ガイドライン」第2.0版を掲載。
2016年11月8日
ページ内「資料のダウンロード」に"「SSL/TLSアプライアンス製品の暗号設定方法等の調査報告書」の公開ページ"のリンクを追加
2015年8月3日
Appendix B.6での誤記を修正(v1.1)。
2015年5月12日
「SSL/TLS暗号設定ガイドライン」「SSL/TLS暗号設定チェックリスト」を掲載。