TLS暗号設定ガイドライン～安全なウェブサイトのために（暗号設定対策編）～

　「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準（「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」）を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定（「遵守項目」と「推奨項目」）を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。

なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。

• 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識をまとめています。
• 3章ではTLSサーバに要求される設定基準の概要について説明しています。
• 4章から6章では、3章で定めた設定基準に基づき、プロトコルバージョン、サーバ証明書、暗号スイートについての具体的なTLSサーバの要求設定について示しています。選択した設定基準としての最低限の安全性を確保するために必ず満たさなければならない「遵守項目」と、当該設定基準としてよりよい安全性を実現するために満たすことが望ましい「推奨項目」とがあります。ここでの要求設定は別紙のチェックリストで確認が求められる項目となります。
• 7章では、チェックリストの対象には含めていませんが、TLSを安全に使うために考慮すべき事項をまとめています。
• 8章は、クライアントの一つであるブラウザの設定に関する事項を説明しており、ブラウザの利用者に対して啓発するべき事項を取り上げています。
• 9章は、そのほかのトピックとして、TLSを用いたリモートアクセス技術（“SSL-VPN”とも言われる）について記載しています。
• Appendixには、4章から6章までの設定状況を確認するためのチェックリスト等を記載しています。
• チェックリストは、「選択した設定基準に対応した要求設定項目の設定忘れの防止」と「サーバ構築の作業受託先が適切に要求設定項目を設定したことの確認」を行うために利用できるように作られています。

TLS暗号設定ガイドライン

実際にどの設定基準を採用するかは、安全性の確保と相互接続の必要性の両面を鑑みて、サーバ管理やサービス提供に責任を持つ管理者が最終的に決定すべきことですが、安全性もしくは相互接続性についての特段の要求がなければ「推奨セキュリティ型」の採用を推奨します。

なお、以前のSSL/TLS暗号設定ガイドライン（version 1.x/2.x）から一段階高い安全性を求めるようになった要求設定項目も多いため、SSL/TLS暗号設定ガイドライン（version 1.x/2.x）を利用している場合には、本ガイドラインでの要求設定に基づいた見直しを行い、必要に応じて設定変更を実施することを強く推奨します。

ガイドライン (2020年7月7日第3.0.1版公開) TLS暗号設定ガイドライン （全106ページ、5.09MB） TLS暗号設定ガイドライン チェックリスト（PDF形式 620KB） TLS暗号設定ガイドライン チェックリスト（Excel形式 327KB） 参考資料 TLS暗号設定 サーバ設定編(ver 1.1)（全23ページ、651KB） TLS暗号設定 暗号スイートの設定例（全10ページ、228KB） TLS暗号設定 サーバ設定編&暗号スイートの設定例 （Windows IIS用 ver 1.1）（全7ページ、374KB） 一括ダウンロード TLS暗号設定ガイドライン・参考資料一式（ZIPファイル、7.5MB）

• 脆弱性対策の普及啓発資料やツールの新着情報一覧
• 普及啓発資料のご案内

IPA セキュリティセンター
TEL：03-5978-7545　FAX：03-5978-7548 E-mail: