サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

IPAが暗号化通信技術の新ガイドラインを公表



画像:情報処理推進機構(IPA)より引用

情報処理推進機構(IPA)は2020年7月8日、ネットワーク暗号化通信技術であるTLSの暗号設定ガイドラインを更新し、2020年3月時点における安全性と相互接続性に適合させた「第三版 TLS暗号設定ガイドライン」にとりまとめ発表しました。TLSとは、ネットワーク上のデータ通信を、悪意のある第三者などに読み取られないようにするための暗号化技術です。暗号化通信技術と不正アクセスはいたちごっこの関係にあり、TLSはその前身でもあるSSL時代を含め、ダウングレード攻撃やロールバック攻撃、POODLE攻撃などの脅威に対して、新技術を導入し対処してきました。

今回のIPAによる改訂は、ウェブサービスが安全性を確保するために求められる、新たな暗号化通信技術の基準を定めたものです。ガイドラインは暗号技術評価プロジェクト「CRYPTREC」に基づき決定され、利便性と安全性のバランスを考慮し定められたとしています。

状況に応じた3つのセキュリティ基準を策定

今回公表されたガイドラインでは、状況に応じて利用すべき、「高セキュリティ型」、「推奨セキュリティ型」、「セキュリティ例外型」の3種類のセキュリティ設定の見直しが中心となりました。高度なセキュリティ性が保たれるべきサービスが想定される「高セキュリティ型」では、必須となる通信技術を既存のTLS1.2から新技術のTLS1.3規格に変更。これまで定められたTLS1.2は、運用環境に応じて推奨される技術に変更となっています。

また、広く一般的なサービスにおいて想定される「推奨セキュリティ型」では、TLS1.2~TLS1.0のいずれかとされていた部分を変更し、TLS1.2を必須技術に変更。また、運用環境においてはTLS1.3の導入も推奨と位置付けられています。(PFSのみ推奨)

最後に、ある程度のリスクを容認した環境での利用が想定される「セキュリティ例外型」においても、回避困難な脆弱性が指摘されるSSL3.0が削除され、TLS1.3~TLS1.0のいずれかを導入するよう定められました。

参照プレス発表 サーバーの構築者、管理者等向けの「TLS暗号設定ガイドライン」を公開/IPA


無料のWEBセキュリティ診断が可能!

URLhttps://cybersecurity-jp.com/shindan/ 「WEBセキュリティ診断くん」は、Webアプリケーションに存在する脆弱性を診断するツールで、無料でWEBサイトに存在する脆弱性の数を把握することが可能です。 また、実際に脆弱性に対してどのような対策を行えば良いかは、月額10,000円からの少額で診断結果を確認することが可能です。 まずは無料で脆弱性の数を診断してみてはいかがでしょうか?


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け


ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。