最新の状況に刷新「TLS暗号設定ガイドライン」など公開(NICT、IPA) | ScanNetSecurity
2020.10.21(水)

最新の状況に刷新「TLS暗号設定ガイドライン」など公開(NICT、IPA)

NICTとIPAは、共同で運営する「暗号技術活用委員会」の2019年度の活動成果として、「TLS暗号設定ガイドライン」第3.0版および「暗号鍵管理システム設計指針 (基本編)」第1版を作成し、公開した。

調査・レポート・白書 調査・ホワイトペーパー
TLS暗号設定ガイドライン
TLS暗号設定ガイドライン 全 1 枚 拡大写真
国立研究開発法人情報通信研究機構(NICT)と独立行政法人情報処理推進機構(IPA)は7月7日、共同で運営する「暗号技術活用委員会」の2019年度の活動成果として、「TLS暗号設定ガイドライン」第3.0版および「暗号鍵管理システム設計指針 (基本編)」第1版を作成し、公開した。TLS暗号設定ガイドラインは、2020 年 3 月時点における TLS 通信での安全性と相互接続性のバランスを
踏まえた TLS サーバの設定方法を示すもの。

以前の「SSL/TLS 暗号設定ガイドライン(version 1.x/2.x)」発行以降、TLS1.3 発行[RFC8446]や、SSL3.0禁止[RFC7525]、ChaCha20-Poly1305 追加[RFC7905]、RC4 禁止[RFC7465]など、同ガイドラインの記載内容に大きく影響する規格化が相次いで行われており、SSL/TLS の利用環境も大きく変化した。また、推奨セキュリティ型で利用が認められていた TLS1.0 や TLS1.1 は、本ガイドラインではセキュリティ例外型のみで利用可能としている。

具体的には、次のような要求設定となっている。

・高セキュリティ型
TLS 1.2
→TLS 1.3(必須)およびTLS 1.2(オプション)
・推奨セキュリティ型
TLS 1.2~TLS 1.0のいずれか(PFSなしも推奨)
→TLS 1.2(必須)およびTLS 1.3(オプション)、PFSのみ推奨
・セキュリティ例外型
TLS 1.2~SSL 3.0のいずれか
→TLS 1.3~TLS 1.0のいずれか

また、以前のバージョンではすべての設定項目が「要求設定」となっていたが、本バージョンでは設定項目が安全性へ寄与する度合いを考慮し、最低限の安全性を確保するために必ず満たさなければならない「遵守項目」と、当該設定基準としてよりよい安全性を実現するために満たすことが望ましい「推奨項目」に分け、より現実的かつ実効性の高い要求設定としている。

章構成においても、以前のバージョンでは「プロトコルバージョンの設定(4 章)」「サーバ証明書の設定(5 章)」「暗号スイートの設定(6 章)」として、それぞれの章に高セキュリティ型、推奨セキュリティ型、セキュリティ例外型の設定項目を記載していたが、本バージョンでは「推奨セキュリティ型の要求設定(4 章)」「高セキュリティ型の要求設定(5 章)」「セキュリティ例外型の要求設定(6 章)」とし、それぞれの章にプロトコルバージョン、サーバ証明書、暗号スイートの設定項目を記載。参照しやすくしている。

暗号鍵管理システム設計指針 (基本編)は、セキュアな暗号アルゴリズムを利用する上で極めて重要な役割を果たす「暗号鍵」の管理に関する在り方を解説し、暗号鍵管理システム(CKMS:Cryptographic Key Management)を設計・構築・運用する際に参考すべきドキュメントとして作成されたもの。暗号鍵管理の位置づけと検討すべき枠組みや、技術的な内容について解説している。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 従業員のパソコンが「Emotet」感染、zip形式のマルウェア添付メールを送信(京セラ)

    従業員のパソコンが「Emotet」感染、zip形式のマルウェア添付メールを送信(京セラ)

  2. セキュリティは二番ではない ~ セキュリティ・キャンプ全国大会2020 オンライン開講

    セキュリティは二番ではない ~ セキュリティ・キャンプ全国大会2020 オンライン開講

  3. フィッシングにひっかかりやすい「要注意メール件名」トップ10(KnowBe4)

    フィッシングにひっかかりやすい「要注意メール件名」トップ10(KnowBe4)

  4. 新型ランサムウェアに感染、95%のサーバが暗号化の被害(鉄建建設)

    新型ランサムウェアに感染、95%のサーバが暗号化の被害(鉄建建設)

  5. ステガノグラフィー用い攻撃モジュール隠し、メインモジュールはビットマップファイルに偽装(カスペルスキー)

    ステガノグラフィー用い攻撃モジュール隠し、メインモジュールはビットマップファイルに偽装(カスペルスキー)

  6. 脅迫メール送信後、30分から60分間DDoSを実施し能力示す(JPCERT/CC)

    脅迫メール送信後、30分から60分間DDoSを実施し能力示す(JPCERT/CC)

  7. 「シルバニアファミリーオンラインショップ」で個人情報流出、安全確認までサイト停止(エポック社)

    「シルバニアファミリーオンラインショップ」で個人情報流出、安全確認までサイト停止(エポック社)

  8. 数台のPCが「Emotet」感染、クラウドサービス提供に影響は無し(ニッセイコム)

    数台のPCが「Emotet」感染、クラウドサービス提供に影響は無し(ニッセイコム)

  9. LAC、SOMPOリスクマネジメントとサプライチェーンリスク評価サービスで協業

    LAC、SOMPOリスクマネジメントとサプライチェーンリスク評価サービスで協業

  10. サイバーセキュリティ防衛技官募集、実務経験13年以上の31歳から58歳(防衛省)

    サイバーセキュリティ防衛技官募集、実務経験13年以上の31歳から58歳(防衛省)

ランキングをもっと見る