Security NEWS TOPに戻る
バックナンバー TOPに戻る
Webサイトやオンラインサービスを安全に運用するためには、TLS(暗号化通信)のバージョンや設定状況を正しく把握することが重要です。古いTLSバージョンや不十分な暗号設定を放置すると、通信の安全性が低下するだけでなく、攻撃リスクやサービス停止につながる可能性があります。
本記事では、TLS設定の安全性を判断するために押さえておくべき基本的な考え方と確認ポイントを整理します。具体的なバージョン確認や設定チェックの手順については、実践編の記事で詳しく解説しています。
ブラウザや外部ツールを使った TLSバージョンの具体的な確認手順については、
→ 「TLSバージョン確認と安全な暗号設定方法」 で詳しく解説しています。
TLSとは?安全な通信を支える基本と目的
TLS(Transport Layer Security)は、インターネット上でやり取りされる通信を暗号化し、第三者による盗聴や改ざんを防ぐための仕組みです。Webサイトのログイン情報や個人情報、業務データなどを安全に送受信するための、通信の土台となる技術といえます。
かつてはSSLと呼ばれていましたが、現在はTLSが標準となっており、SSLはすでに非推奨です。TLSが正しく設定されていない場合、通信内容が外部から読み取られたり、不正に操作されたりするリスクが高まります。
TLSバージョンの違いと推奨設定
TLSには複数のバージョンが存在し、それぞれ安全性や対応状況が異なります。
- TLS 1.0 / 1.1
すでに脆弱性が指摘されており、主要ブラウザやサービスでは非推奨・無効化が進んでいます - TLS 1.2
適切な暗号スイートを選択すれば安全に利用できます。 - TLS 1.3
最新バージョンであり、セキュリティとパフォーマンスの両面で改善されています
基本方針としては、TLS 1.3を有効化し、古いバージョンを無効にすることが推奨されます。
現在どのバージョンが使われているかを把握することが、最初の重要なステップです。
実際の確認手順については、
→ 「TLSバージョン確認と安全な暗号設定方法:ブラウザ・ツールでのチェック手順」で詳しく解説しています。
TLSバージョンの利用率
ChromeやFirefoxなどの主要ブラウザ(クライアント)においては、2020年上半期をもってTLS 1.0/1.1が無効化され、相互接続の互換性維持目的でTLS 1.1以下をサポートするメリットは既になくなっています。加えて、常時HTTPS化という世界的な流れの中では、TLS 1.0/1.1が利用可能なWebサイトは「安全でない」とみなされる場合もあるでしょう。なお、SSL Pulseによる調査では、TLS 1.3の普及率は70.1%、TLS 1.2は99.9%にのぼっています(2024年5月時点のデータより)
最も普及しているのはTLS 1.2ですが、複数のプロトコルバージョンをサポートしている場合、サーバとブラウザの両者が使用可能なバージョンのうち、新しいものから優先的に使用するのが標準的なTLSの設定です。TLS 1.3およびTLS 1.2を有効にし、バージョンが新しいものから順に接続の優先度を高く設定してください。
TLS 1.3の導入のメリットと課題については以下の記事もあわせてご参照ください。
https://www.sqat.jp/kawaraban/19215/
また、IPA「TLS暗号設定ガイドライン」第3版からはプロトコルのバージョンだけでなく暗号スイートについても見直しが行われ、TLS 1.2に対してはPFS(Perfect Forward Secrecy)を有する鍵交換方式(ECDHE、DHE)を含む暗号スイートのみの使用が強く推奨されています。PFSは、2013年のスノーデン事件をきっかけにその重要性が認識され普及が進んだ暗号化技術です。TLS 1.3では、既定でPFSを有する鍵交換方式のみが採用されており、今後、鍵交換方式が満たすべき標準になると考えられます。
TLS暗号設定ガイドラインと基本設計方針
IPA「TLS暗号設定ガイドライン」第3.1.0版は電子政府推奨暗号の安全性の評価プロジェクト「CRYPTREC」が作成したWebサーバでのTLS暗号設定方法をまとめたガイドラインです。TLSサーバの構築者や運用者が適切なセキュリティを考慮して暗号設定を行うための指針として提供されています。
IPA/NICTの本ガイドラインでは、「高セキュリティ型」、「推奨セキュリティ型」、「セキュリティ例外型」(安全性上のリスクを受容してでも継続利用せざるを得ない場合の設定基準)という3つの設定基準が提唱されています。
- 高セキュリティ型: TLS 1.3およびTLS 1.2を使用し、強い暗号スイートのみを利用。
- 推奨セキュリティ型: 一般的に推奨される設定で、セキュリティとアクセス性のバランスが取れています。
- セキュリティ例外型: TLS 1.3~TLS 1.0のいずれかで、アクセス性を確保しますが、セキュリティの強度は低下します。
(※セキュリティ例外型での設定内容は2029年度を目途に終了予定のため、速やかに推奨セキュリティ型への移行が推奨されます)
設定要求: 各設定基準に応じた具体的なプロトコルバージョンや暗号スイートの要求設定が示されています。これには、遵守項目と推奨項目が含まれ、安全性を確保するために満たすべき要件が詳細に説明されています。
チェックリスト: TLSサーバの構築者や運用者が設定を実施する際に利用できるチェックリストも用意されており、設定忘れを防ぐためのガイダンスを提供します。
まとめ
TLS設定は、Webサイトやサービスの安全性を支える重要な要素です。
- TLSバージョンと暗号設定を把握する
- 古い設定を放置しない
- 定期的に確認・改善を行う
これらを意識することで、通信に関するリスクを最小限に抑えることができます。
実際のチェック方法については、
→「TLSバージョン確認と安全な暗号設定方法:ブラウザ・ツールでのチェック手順」もあわせて確認してください。
TLS暗号設定ガイドラインは、TLS通信における安全性考慮したセキュリティ設定基準を設けています。これにより、TLSサーバの構築者や運用者が実際の商業的背景やシステム要件に応じた適切な設定を行うための根拠を提供します。
本ガイドラインで提唱されている3つの設定基準(「推奨セキュリティ型」「高セキュリティ型」「セキュリティ例外型」)は、各種国際的標準(NIST SP800/PCI DSSv4.0/OWASP ASVS等)の指針に対応したものであり、準拠への取り組みや、暗号設定における今後のセキュリティ対策を検討する上でも役に立ちます。ぜひ参照されることをお勧めします。
TLS設定の見直しが必要かどうか判断に迷う場合や、自社だけでの確認が難しい場合は、第三者の視点で現状を整理することも有効です。通信設定を含めたWebサイト全体のセキュリティ状況を把握したい場合は、専門家によるセキュリティ診断や設定確認を検討するのも一つの方法です。
関連情報
限定キャンペーン実施中!
今なら新規お申込みで 初回診断料金 10%OFF!
短期間での診断が可能な「SQAT® with Swift Delivery」で、あなたの企業をサイバー脅威から守りませんか?
Security NEWS TOPに戻る
バックナンバー TOPに戻る
ウェビナー開催のお知らせ
【好評アンコール配信】
「今さら聞けない!ソースコード診断あれこれ」
「「対策は万全」のはずだったのに、なぜ被害は止められなかったのか?~大手飲料メーカーの会見内容と攻撃手口から読み解く、防げなかった理由とは~」
【好評アンコール配信】「直近のWeb改ざん事例にみる、改ざん攻撃の実態と早期発見の重要性」
最新情報はこちら
