【必読】2016年中に必ず終わらせたいセキュリティ対応

2015年12月9日 11:00
  • 神楽坂ショールーム
  • 資料請求・お問い合わせ
  • 概算見積もり

インターネットアドレスは、httpで始まるものとhttpsで始まるものがあるということをご存知ですか?

httpsでは通信は認証・暗号化され、httpでは通信は認証・暗号化されない、という違いがあります。

では、httpかhttpsかいずれを使うのか、それは通信内容によります。

例えば各種パスワードやクレジットカード情報など、他人に漏れると困る情報を扱うとき、通常は通信を認証・暗号化します。

当社クラウドサービスのバイバイ タイムカードも、もちろんhttpsを使って通信を保護しています。

この認証・暗号化をごく簡単にまとめると以下です。

仕組み 効果
認証 電子証明書を利用して、通信相手が本物であることを認証する なりすました通信相手を検知可能
暗号化 通信内容を暗号化する 通信を傍受されても、内容がわからない

 

これらの仕組みは、SSL(Secure Sockets Layer)として規定されています。なお、これはTLS(Transport Layer Security)と呼ばれることもあります。

安全な通信のためのSSLですが、常に万全というわけではなく、テクノロジーの発達とともにその安全性は下がっていきます。

本記事では、これに関連する2つの情報を紹介したいと思います。

  • 認証における、SHA1からSHA2への移行について
  • 暗号化における、SSL 3.0以下の利用停止について

1.認証における、SHA1からSHA2への移行について

 

なりすまし防止のための、通信相手を証明する電子証明書の生成には、SHA1やSHA2というアルゴリズムが使われています。

テクノロジーの発達により、SHA1で生成される電子証明書は偽造される可能性が高まっています。
このため、Microsoft社やGoogle社をはじめ様々な団体がSHA1からSHA2への移行を表明しています。

シマンテック マイクロソフト グーグル

一部例外がありますが、2016/1/1からSHA1は使えなくなると考えておくのがよさそうです。
言い換えると、2016年からはSHA2に対応していない環境では安全な通信ができなくなる可能性が高まりそうです。

SHA2に対応していない環境とは、SHA2が発明される前に作られた端末やOSとなります。
SHA2に対応していない環境を下記に示しますので、該当環境をご利用の方は、安全な通信のためにアップデートや買い替えの検討をしてみてください。

SHA2に対応していない端末・OS

  • Windows XP SP2 以前 (SP3ならば利用可能)
  • Mac OS X 10.4 以前
  • Android 2.2 以前
  • iOS 2.2 以前
  • WILLCOMのフィーチャーフォン
  • EMOBILEのフィーチャーフォン(H311Aを除く)
  • 2009以前に発売されたフィーチャーフォン

機種ごとの詳細参考
https://www.cybertrust.ne.jp/sureserver/download/docsample/FeaturePhone.pdf
(リンク先の掲載終了)

新しいOSであっても、下記ブラウザの場合はSHA2に対応していません。最新のブラウザをご利用下さい。

  • Internet Explorer 5.X以前
  • Mozilla Firefox 3.01以前
  • Opera 9.4以前
  • Safari 2.X以前

 

2.暗号化における、SSL 3.0以下の利用停止について

SSL 3.0 の脆弱性対策について(CVE-2014-3566):IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/announce/20141017-ssl.html
(リンク先の掲載終了)

通信内容の暗号化のための方式には、古い順に

  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2

があります。

実際の通信でどのバージョンの暗号方式が使われるかというと、サーバーとクライアントの両方で使える方式のうち、一番新しいものが使われます。
新しいものほど安全性も高いので、妥当な仕組みですね。

しかし、逆に言うと、TLS 1.0以上が使えないときは、脆弱性のあるSSL 3.0以下が使われてしまいます。
そこで、クライアント側でSSL 3.0以下を無効にする方法をご紹介します。

★インターネットエクスプローラの場合:要確認

手動での設定が必要な可能性がありますので、下記手順で確認&設定してみてください。

  1. インターネットオプションを開く
  2. 「詳細設定」のセキュリティ部分にスクロールする
  3. 「SSL 2.0 を使用する」と「SSL 3.0 を使用する」のチェックが外れていること(有効ならば、のチェックボックスを外す)
  4. 「TLS 1.1の使用」「TLS 1.2の使用」のチェックが入っていること(無効ならば、チェックを入れておくと良い)
  5. OKを押し、コンピューターを再起動します。

SSL-20151201.jpg 図. Windows7のIE11の例

★FirefoxやChromeの場合:最新版ならば対応不要

最新版では、標準で「SSL 3.0以下」は無効となっていますので対応不要です。
もしも最新版以外をご利用の場合は、最新版へのアップデートをおすすめします。

★Apple製品の場合:対応不要

「セキュリティアップデート 2014-005」で対応が完了しているので、このアップデートが行われてた、
あるいは、これ以降にリリースされた製品は、SSL3.0以下は無効なので使っている場合は、対応不要です。

以上、SSLに関する情報でした。皆様の安全な通信のためのお役に立てれば幸いです。
これからも皆様に少しでも有益な情報をご提供できればと思います。

(中村貴英)

  • 追記

日本経済新聞社さん
『日経電子版 サーバー証明書方式「SHA-2」へ変更 セキュリティ強化』(2015年12月1日)
(以下一部抜粋)
日経電子版ではセキュリティ強化のため、2015年12月16日、ご利用者がウェブサーバーに安全に接続するために使用しているサーバー証明書の方式を「SHA-1」から、より安全性の高い「SHA-2」に変更します。
http://www.nikkei.com/topic/20151201.html

  • バイバイ タイムカード日記

このページの先頭へ