Internet Week 2014 セキュリティセッション紹介第6回「サイト管理者が知っておくべきSSLの秘孔(ツボ)」について秋山卓司氏と木村泰司氏が語る

11月18日から11月21日にかけて、一般社団法人日本ネットワークインフォメーションセンター（JPNIC）主催の「Internet Week 2014 ～あらためて“みんなの”インターネットを考えよう～」が、秋葉原の富士ソフトアキバプラザで開催される。

「Internet Week」は、毎年11月に、計40近くものセッションが会期中に行われる、年1度の非商用イベントだ。インターネットやその基盤技術に関するエンジニアを主な対象に、最新動向やチュートリアルがある。

- Internet Week 2014
https://internetweek.jp/
今回のテーマは「あらためて“みんなの”インターネットを考えよう」。Internet Weekの実行委員長は「2014年は上半期から、UDPを用いた大規模なDDoS、OpenSSL Heartbleed問題、DNS毒入れ問題などが続き、また、いわゆるフィッシングやスマートフォン向けアプリを仲介した詐欺が横行、企業による大規模な個人情報流出もあり、『セキュリティ』や『プライバシー』に関連する事象が多数発生した」と述べている。技術的な解決方法は存在していても、対応が後手にまわったり、対応しなければならないインシデントは山積みになっているのが現状だ。こうした事態を踏まえ、Internet Weekではいつもに増してセキュリティ関連セッションを増やし、また、対応についても皆で考え、より良い未来を作りたいと考えている。

本連載では、このInternet Week 2014のセッションのうち、情報セキュリティに関するセッションのうち特に注目のものについて、そのセッションの見どころ・意義・背景などを、各セッションのコーディネーターに語ってもらう。

6回目となる今回は、11月20日(木)午後に行われるプログラム「S14 サイト管理者が知っておくべきSSLの秘孔(ツボ)」について、クロストラスト株式会社の秋山卓司氏と一般社団法人日本ネットワークインフォメーションセンターの木村泰司氏に語っていただいた。

--

Q. 今年はSSL/TLSに関わる脆弱性の発表がかなりありました。

秋山：はい、SSL/TLSに関してはここ数年比較的重大な脆弱性やインシデントの報告が相次いだのですが、今年は「Heartbleed」を筆頭に特に大きな話題の多い一年だったかと思います。一口に脆弱性と言っても、それが悪用される条件や管理者の取るべき対応は様々です。おそらく多くのサイト管理者の方々が対応に追われたのではないでしょうか。

木村：Heartbleedの時もそうですが、脆弱性の情報が、開発元より先にWebページなどで広がったことも特徴として挙げられますよね。本プログラムでもこの話が出てくると思います。

Q. Internet Week 2014のセッションの中で唯一、タイトルに「SSL」と入っていますよね。このプログラムの注目すべきところについて教えてください。

木村：SSLがリリースされて今年で丁度20周年なのです。

秋山：そうです。これを節目にこれまでどのような脆弱性が指摘されてきたか、あるいは実際にそれらの脆弱性が悪用されたか、また指摘された脆弱性に対してどのような対応やバージョンアップがなされたかを皆様と一緒に俯瞰してみたいと思います。その上で、サイト管理者の方々の疑問にちゃんと答られるような、それから、中長期的な観点でもSSL/TLSとの付き合い方について考えられるようなプログラムにしたいと考えて企画しました。注目していただきたいのは、特に、SSL/TLSの設定の中に潜んでいる肝心な知識＝秘孔(ツボ)の部分ですね。

Q. SSL/TLSの設定というと難しそうな印象もあります。秘孔(ツボ)と呼ばれるようなところはあるのでしょうか。

秋山：まず押さえておきたいのは、ケースごとの設定方法と、暗号アルゴリズムに関する基礎的な知識の2つです。なによりも設定の根拠になりますし、これらを押さえておくことで、デフォルト設定や、よくある設定を鵜呑みにしないで、どういう設定が最適なのかを見出すのに役立つと思います。逆にポイントを押さえておかないと、脆弱性が見つかったときなどの対策が後手後手になったり、見当違いなものになりかねないと思います。デフォルト設定のままのサイトは結構多いという調査結果もあって、もったいないというか、少しやばいかもと思うこともあります。

木村：サイト管理者の方はSSL/TLSプロトコルや暗号を専門に業務をされているわけではないと思いますので、わかりやすさは重要ですよね。本セッションは、SSL/TLSのプロトコルや実装をウォッチされてきた方々にお声がけして、いかに分かりやすく解説して頂けるかを考えています。

Q. このプログラムのテーマと、Internet Week全体の今年のテーマ：「あらためて”みんなの”インターネットを考えよう」はどのように関わってきますか?

秋山：SSL/TLSには、標準化活動に参加している人たちや実装する人たち、ブラウザやサーバの実装を行っている人たち、脆弱性を見つけた人たちといった、様々な立場の方が関わっていると言えます。立場の違いによって、例えばインシデントへの対応の際にすぐにできることや、なかなかできないことがあると思います。この辺りを了解した上で、SSL/TLSのニュースを見たり、インシデントがあったときにどうするかを考えてみたりすると、SSL/TLSとの付き合い方というか、新しい設定の入れ方や利用者への案内の仕方などが違ってくるかも知れません。

Q. SSL/TLSにも色々な立場の方が関わっているのですね。Internet Weekならではという点がありましたら教えて下さい。

木村：Internet Weekには、セキュリティや暗号の専門家ばかりではなく色々な立場の方が来られています。今回ご紹介するSSL/TLSのツボが、同じサイト管理者もしくは開発者といった異なる立場の方々が、どんなことを思われているのか、という意見交換のきっかけの一つになればと思っています。プログラム中は質疑応答やパネルディスカッションに限られてしまうかも知れませんが、一日のプログラムに出られた後などに会場や会場周辺のお店で、情報交換できるのがInternet Weekの醍醐味だと思います。

Q. 最後に、このプログラムはどのような方に聴いていただきたいですか?

秋山：まずはSSL/TLSのサイト管理者やサーバ管理者にお勧めしたいです。今日のお話にも出てきましたが、ブラウザやサーバに関わる開発者の方、そしてHeartBleedの際に重要な役割を担うことになった認証局事業者にも是非ご参加頂きたいと思います。

木村：SSL/TLSのサーバを使った製品やサービスをこれから設計・開発する方にもお役に立てるセッションではないかと思います。

●プログラム詳細

「S14 サイト管理者が知っておくべきSSLの秘孔(ツボ)」

- 開催日時:2014年11月20日(木)　13:15～15:45
- 会場:富士ソフトアキバプラザ
- 料金:事前料金 5,500円／当日料金 8,000円
- https://internetweek.jp/program/s14/

13:15～14:00
1) SSL/TLSの20年を振り返る～ダウングレード攻撃からHeartbleedまでの脆弱性を中心に～
秋山卓司(クロストラスト株式会社)
木村泰司(一般社団法人日本ネットワークインフォメーションセンター)

14:00～14:30
2) サーバの正しいSSL/TLS設定のツボ
漆嶌賢二(富士ゼロックス株式会社)

14:30～15:00
3) SSL/TLSで使われる暗号技術のキモチ
菅野哲(NTTソフトウェア株式会社)

15:00～15:45
4) SSL/TLSとの付き合い方(パネルディスカッション)
秋山卓司(クロストラスト株式会社)
漆嶌賢二(富士ゼロックス株式会社)
菅野哲(NTTソフトウェア株式会社)
木村泰司(一般社団法人日本ネットワークインフォメーションセンター)

※特典:このセッションに申し込まれた方には、「Scan Tech Report (年間購読定価10,332円)」もしくは「情報セキュリティ総合情報メールマガジンScan(年間購読定価10,080円)」の無料プレゼントがあります。
※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。