IPAが暗号化通信技術の新ガイドラインを公表|サイバーセキュリティ.com

IPAが暗号化通信技術の新ガイドラインを公表



画像:情報処理推進機構(IPA)より引用

情報処理推進機構(IPA)は2020年7月8日、ネットワーク暗号化通信技術であるTLSの暗号設定ガイドラインを更新し、2020年3月時点における安全性と相互接続性に適合させた「第三版 TLS暗号設定ガイドライン」にとりまとめ発表しました。TLSとは、ネットワーク上のデータ通信を、悪意のある第三者などに読み取られないようにするための暗号化技術です。暗号化通信技術と不正アクセスはいたちごっこの関係にあり、TLSはその前身でもあるSSL時代を含め、ダウングレード攻撃やロールバック攻撃、POODLE攻撃などの脅威に対して、新技術を導入し対処してきました。

今回のIPAによる改訂は、ウェブサービスが安全性を確保するために求められる、新たな暗号化通信技術の基準を定めたものです。ガイドラインは暗号技術評価プロジェクト「CRYPTREC」に基づき決定され、利便性と安全性のバランスを考慮し定められたとしています。

状況に応じた3つのセキュリティ基準を策定

今回公表されたガイドラインでは、状況に応じて利用すべき、「高セキュリティ型」、「推奨セキュリティ型」、「セキュリティ例外型」の3種類のセキュリティ設定の見直しが中心となりました。高度なセキュリティ性が保たれるべきサービスが想定される「高セキュリティ型」では、必須となる通信技術を既存のTLS1.2から新技術のTLS1.3規格に変更。これまで定められたTLS1.2は、運用環境に応じて推奨される技術に変更となっています。

また、広く一般的なサービスにおいて想定される「推奨セキュリティ型」では、TLS1.2~TLS1.0のいずれかとされていた部分を変更し、TLS1.2を必須技術に変更。また、運用環境においてはTLS1.3の導入も推奨と位置付けられています。(PFSのみ推奨)

最後に、ある程度のリスクを容認した環境での利用が想定される「セキュリティ例外型」においても、回避困難な脆弱性が指摘されるSSL3.0が削除され、TLS1.3~TLS1.0のいずれかを導入するよう定められました。

参照プレス発表 サーバーの構築者、管理者等向けの「TLS暗号設定ガイドライン」を公開/IPA


セキュリティ対策無料相談窓口


「セキュリティ対策といっても何から始めたら良いかわからない。」「セキュリティ対策を誰に相談できる人がいない。」等のお悩みのある方、下記よりご相談ください。

無料相談はこちら

SNSでもご購読できます。