企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第5回「知らないと困る?! 認証局とHTTPSの最新動向」について語る | ScanNetSecurity
2021.06.20(日)

企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第5回「知らないと困る?! 認証局とHTTPSの最新動向」について語る

CAやトラスト、TLSなどのプロトコルについて、 運用の観点を交えて取り上げ、Webサーバのセキュアな運用をめざすエンジニアが知っておくべき動向と最新の話題をお届けします。

研修・セミナー・カンファレンス セミナー・イベント
「
「"無料だからLet's Encryptでいいや" から一歩進んだ証明書の選び方を解説します」JPNIC 木村泰司氏 全 1 枚 拡大写真
11月28日から12月1日にかけて、一般社団法人日本ネットワークインフォメーションセンター(JPNIC)主催の「Internet Week 2017 ~向き合おう、”グローバル”インターネット~」が、浅草橋のヒューリックホール&カンファレンスで開催される。

セキュリティ関連のプログラムでは、(ISC)2が認定する情報セキュリティの国際資格であるCISSP維持のための「CPEクレジット」も貯められる。

情報セキュリティに関するプログラムの見どころを語ってもらう企画の5回目は、11月29日(水)に行われるプログラム「知らないと困る?! 認証局とHTTPSの最新動向」について、日本ネットワークインフォメーションセンター(JPNIC)の木村泰司氏に話を聞いた。


――2017年は証明書に関していろいろありましたが、このプログラムを企画した狙いを教えて下さい。

今年はWeb周りの認証、いわゆるHTTPSや認証局に関して、動きがあった年だと思います。例えば、SSLサーバ証明書の一種であるEV証明書について、大手事業者が発行する証明書でも「EVの表示にならない」ということが起こりました。また、TLSについてもバージョン 1.3 の仕様がほぼ固まり、いくつかの課題が解決したら実装が出回り始めるでしょう。

こういった変化が起きた時、Webサーバを管理している方々は、どう対応したらいいのでしょうか? Webサーバの設定はデフォルトでもそこそこ運用できるようになっているので、動いているサーバもたくさんあると思います。でもTLSや証明書の具体的な話となると、「TLS1.3を入れると何がいいのか?ネットワークへの影響は?」「サーバ証明書の見え方が変わってしまうのはなぜなのか?」など、結構迷われることがあるのではないでしょうか。

特に証明書に絡んだ話となるとサーバの設定上では分かりにくい問題が起こりがちで厄介ですし、CTログの扱いにしても良い面と悪い面があって判断しかねる事があると思います 。例えば公開前のWebサーバのホスト名が検索できてしまうなど、CTログで公開されている情報の是非について議論が続いています。このグローバルな組織間の関係が影響してくる話は、認証技術に詳しい一部の人には知られていても、必要に応じてWebサーバを動かす立場の人には分かりにくいのではないかと思います。この状況で橋渡しになるようなセッションを設けたいと思い、今回のプログラムを企画しました。

――「CTログ」とはどういうログですか?

CTログとは、「Certificate Transparencyログ」の略です。2011年頃に商用の認証局が不正な証明書を発行してしまう事件が起きたことから、同一のホスト名を持つような不正な証明書を検出できるように、Googleなどが提案しIETFで標準化された仕組みです。現在WebブラウザのChromeでは、このCTログに対応しているサーバ証明書かどうかを必ずチェックし、ユーザーが不正な証明書を見つけられる状態を一般的に作り出しつつあります。FirefoxにもこのCTログをチェックする動きがあります。
またブラウザと認証局の力関係が変わってきている、という点も注目すべきポイントです。

今回のプログラムでは、このあたりについてWebサーバなどを運営している方に分かりやすく解説したいと考えています。

――ブラウザと認証局の力関係が変わったからと言って、Webサーバを管理する方などが、具体的に何か対処すべき問題が起こるのでしょうか?

例えばいくつかの政府による認証基盤のWebサーバ証明書(日本ではGPKIと呼ばれる認証基盤によるサーバ証明書)は、ブラウザベンダーによる検査への対応に追い付いていないものがあります。もともと、CA/Browserフォーラムにおける基準とガイドライン、認証局における認証業務の監査という形で信頼性が担保されてきたという形だったものが、現在は更に、Webブラウザによる検査や無効化処理が行われていないもの、ということになります。この形態に対応できない認証局の証明書は有効と表示されないということが起こります。Webサーバに携わっている人は、ぜひ押さえておいたほうがいいところです。

無料で発行できる証明書である、Let's Encryptを使いたい方もかなり増えてきていると思います。このLet's Encryptのサーバ証明書はCTログに対応していて、DV(ドメイン・バリデーション)証明書としては技術への対応が早いものであると言えます。他の証明書との違いや特徴のあたりを今回のプログラムで押さえていただきたいと思っています。

――具体的にプログラムの中身はどのようになりますか?

ヤフー株式会社の大津繁樹さんには、大規模なサービス運用を行う立場から知っておくべきTLSプロトコルの動向について話していただきます。Symantec社とGoogle社の関係に見られるトラストアンカーの仕組み、PCI-DSSで迫られるTLS1.0の廃止といった今の運用で押さえておきたいことに加え、将来的な話としてTLS1.3やQUIC(Quick UDP Internet Connections)という新しいプロトコルの動向と耐量子暗号についてもカバーして頂く予定です 。

その後、セコム株式会社IS研究所の島岡政基さんには、「今理解しておくべきWeb PKIを支えるトラストの動向」という観点で、先ほど話したCTログやその影響、ブラウザと認証局の力関係といった話をいただけると思います。

――このプログラムをどういう方に聴いてもらいたいでしょうか?プログラムの参加者やメッセージがあれば、それもあわせてお願いします。

Webサーバを動かしている方や、httpsの動向に関心を持っている技術者の方には、ぜひとも聴いてもらいたいと思います。

証明書とか認証局に関する最新動向は、ブラウザがグローバルに開発されているものであることから、国内動向だけを見ていてもダメという類いのものです。まさに、今回のInternet Week全体のテーマ「向き合おう、"グローバル"インターネット」の通り、普段運用などの業務がある中で、こういったグローバルな動きを、どういう風に効率的に押さえていけばいいのか、また具体的に「使える」情報をお伝えできればと思っています。

「証明書とかよくわからないし、無料だからLet's Encryptでいいや」ではなく、一歩進んだ、そして自信を持った証明書の選び方やサーバ運用をしていただければと思います。

多くの方のご来場をお待ちしています。

●プログラム詳細
「S11 知らないと困る?! 認証局とHTTPSの最新技術動向」
https://www.nic.ad.jp/iw2017/program/s11/

- 開催日時:2017年11月29日(水) 16:15 ~ 18:45
- 場所:ヒューリックホール&カンファレンス(浅草橋)
- 料金:事前5,500円/当日8,000円

16:15 ~ 16:35
認証局とHTTPS
- 講演者:木村 泰司(一般社団法人日本ネットワークインフォメーションセンター)
- 本セッションで取り上げるCAやトラスト、TLSなどのプロトコルについての論点と全体像について紹介します。後半のパネルディスカッションに向けた本セッションのイントロダクションです。

16:35 ~ 17:10
運用の観点から見たTLSプロトコルの動き
- 講演者:大津 繁樹(ヤフー株式会社)
- HTTPS対応した大規模サービスの運用の現場では、一度HTTPS化したらそれで終わりということにはなりません。対外的なアクセスが全てHTTPSになるため、TLS通信でインシデントが発生するとその影響はこれまでになく広範囲で大きなものになります。長期的に安全で安定したサービスを提供するためには、暗号技術や攻撃方法など動向を把握した上で将来の運用を考えることが必要です。本講演では、今後のHTTPSサービス運用で知っておくべきTLSプロトコルの現状の課題と最新動向について技術的な観点から解説します。
・ どうしてHTTPSにしないといけないのか。
・ 信頼性の要、トラストアンカーをめぐる動き(認証局対ブラウザベンダー)
・ 今後TLS1.0をどうしたらいいのか。
・ 暗号方式のSPOF解消に向けて(非NIST暗号の特徴)。
・ TLS1.3でどう変わるのか。
・ QUIC, 耐量子暗号を見据えて。

17:10 ~ 17:45
今理解しておくべきWeb PKIを支えるトラストの動向
- 講演者:島岡 政基(セコム株式会社 IS研究所 主任研究員)
- インターネット上で利用されるHTTPSサービスの多くは、ルート認証局を基点とするWeb PKIの上に成り立っていますが、2010年前後を境にその認証局の信頼が乱れ始めました。それとほぼ前後して、IETFも含むいくつかのコミュニティで、こうしたWeb PKIを支えるトラストを回復するための取組みが始まっています。
一方で、このようなトラストの乱れや取組みは、Webブラウザの挙動変更や利用している証明書の毀損など、一時的とは言え様々な影響をHTTPSサービスにもたらします。
こうしたトラストの過渡期をできるだけ安定的に乗り越えていくために、本セッションでは、Web PKIで起きているコトとそのワケを、Web PKIに依拠するサーバ管理者に理解してもらえるように、認証局・ブラウザベンダーの動向を中心にWeb PKIを支えるトラストの動向について解説します。

17:45 ~ 18:45
パネルディスカッション ~Webサーバ運用の観点で~
- モデレータ:木村 泰司(一般社団法人日本ネットワークインフォメーションセンター)
- パネリスト:
島岡 政基(セコム株式会社 IS研究所 主任研究員)
大津 繁樹(ヤフー株式会社)
林 達也(株式会社レピダム)
- HTTPSのサーバを運用するにあたって、TLS、認証、トラストなどの最新動向をどう捉えたらいいのか。 講演者とディスカッションします。

※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  2. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  3. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  4. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  5. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  6. イトーヨーギョーのサーバにランサムウェア攻撃、現時点で情報流出は確認されず

    イトーヨーギョーのサーバにランサムウェア攻撃、現時点で情報流出は確認されず

  7. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  8. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  9. 病院向け情報管理システム OpenClinic GA に複数の脆弱性

    病院向け情報管理システム OpenClinic GA に複数の脆弱性

  10. PDF の契約書を署名段階で改竄、「邪悪なる注釈」そして「密かなる署名」攻撃とは? ~ 26 種類の PDF ソフトのうち 24 にオマケの脆弱性も

    PDF の契約書を署名段階で改竄、「邪悪なる注釈」そして「密かなる署名」攻撃とは? ~ 26 種類の PDF ソフトのうち 24 にオマケの脆弱性も

ランキングをもっと見る