SSL/TLS暗号設定ガイドラインが発表

IPA（独立行政法人情報処理推進機構）が2015年5月12日に「SSL/TLS暗号設定ガイドライン」を発表しました。
現在、IPAのサイトからpdfファイルをダウンロードすることが可能です。

「SSL/TLS暗号設定ガイドライン」はSSL/TLSサーバの構築者や運営者が、適切なセキュリティの暗号化を設定できるようにすることを目的として策定されたガイドラインとなっており、同サイト上では実際に選択した設定基準に対応した設定を行なったかを確認できるチェックリストも提供されています。

ガイドラインでは実際に設定すべき「要求設定項目」として「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」の3つの設定基準を提示しています。
チェックリストもこれに対応した形になっており、これからSSL/TLSサーバを構築する方だけではなく、今のセキュリティ状況を見直したい方にとっても役立つものとなっています。

2015年3月に報告されたSSLの脆弱性「FREAK」は、「輸出グレード」と呼ばれる強度の弱い暗号を使用し続けていたことが原因となって発見された脆弱性です。
この機会に一度、SSL/TLSの設定を見直してみてはいかがでしょうか。

参照：
SSL/TLS暗号設定ガイドライン～安全なウェブサイトのために（暗号設定対策編）～
http://www.ipa.go.jp/security/vuln/ssl_crypt_config.html

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む