タグ: 暗号

投稿日:

TLS設定の安全性と確認ポイント:古い暗号設定が引き起こすリスクと改善手順

Share
「TLS設定の安全性と確認ポイント:古い暗号設定が引き起こすリスクと改善手順」アイキャッチ画像

インターネット上の通信を安全に行うために欠かせない技術が「TLS(Transport Layer Security)」です。WebサイトのHTTPS通信は、このTLSによって保護されています。しかし、TLSは単に導入すれば安全というものではなく、バージョンや設定によってはセキュリティリスクが生じる可能性があります。本記事では、TLS設定の安全性を判断するために押さえておくべき基本的な考え方と確認ポイントを整理します。

具体的なバージョン確認や設定チェックの手順については、実践編の記事で詳しく解説しています。「TLSバージョン確認と安全な暗号設定方法

TLSとは?

TLS(Transport Layer Security)は、インターネット上でやり取りされる通信を暗号化し、第三者による盗聴や改ざんを防ぐための仕組みです。Webサイトのログイン情報や個人情報、業務データなどを安全に送受信するための、通信の土台となる技術といえます。

かつてはSSLと呼ばれていましたが、現在はTLSが標準となっており、SSLはすでに非推奨です。TLSが正しく設定されていない場合、通信内容が外部から読み取られたり、不正に操作されたりするリスクが高まります。

TLSの仕組み

TLSは主に以下の仕組みで通信を保護しています。

暗号化通信

送受信されるデータを暗号化することで、第三者に内容を読み取られないようにします。

認証(証明書)

サーバ証明書を用いて、通信先が正しい相手であることを確認します。

完全性の確保

通信内容が途中で改ざんされていないかを検証します。

TLSバージョンの違い

TLSには複数のバージョンが存在し、それぞれ安全性や対応状況が異なります。

  • TLS 1.0 / 1.1
    すでに脆弱性が指摘されており、主要ブラウザやサービスでは非推奨・無効化が進んでいます
  • TLS 1.2
    適切な暗号スイートを選択すれば安全に利用できます。
  • TLS 1.3
    最新バージョンであり、セキュリティとパフォーマンスの両面で改善されています

基本方針としては、TLS 1.3を有効化し、古いバージョンを無効にすることが推奨されます。
現在どのバージョンが使われているかを把握することが、最初の重要なステップです。

TLS1.2/1.3への移行手順と設定のポイントについては、以下の記事で詳しく解説しています。
TLSバージョンの確認方法とは?ブラウザ・OpenSSL・ツールでのチェック手順と安全な設定ポイント

TLSの脆弱性リスク

TLSは安全な通信技術ですが、バージョンや設定によっては脆弱性が存在します。

古いTLSのリスク

TLS1.0や1.1は既知の攻撃手法により、通信の安全性が低下する可能性があります。

設定不備によるリスク

  • 設定不備によるリスク
  • 証明書の不備
  • 設定ミス

攻撃への悪用

これらの問題がある場合、

  • 通信の盗聴
  • データ改ざん
  • 不正アクセス

といった攻撃につながる可能性があります。

TLSの脆弱性は、発見後の対応も重要です。「脆弱性対応の基本と実践ポイント

TLS暗号設定ガイドラインと基本設計方針

TLSを安全に運用するためには、適切な暗号設定が不可欠です。以下は基本的なガイドラインです。

TLS暗号設定ガイドラインは、TLS通信における安全性考慮したセキュリティ設定基準を設けています。これにより、TLSサーバの構築者や運用者が実際の商業的背景やシステム要件に応じた適切な設定を行うための根拠を提供します。

IPA「TLS暗号設定ガイドライン(2025年4月25日 第3.1.1版公開)」は電子政府推奨暗号の安全性の評価プロジェクト「CRYPTREC」が作成したWebサーバでのTLS暗号設定方法をまとめたガイドラインです。TLSサーバの構築者や運用者が適切なセキュリティを考慮して暗号設定を行うための指針として提供されています。

本ガイドラインで提唱されている3つの設定基準(「推奨セキュリティ型」「高セキュリティ型」「セキュリティ例外型」)は、各種国際的標準(NIST SP800/PCI DSSv4.0/OWASP ASVS等)の指針に対応したものであり、準拠への取り組みや、暗号設定における今後のセキュリティ対策を検討する上でも役に立ちます。ぜひ参照されることをお勧めします。

  • 高セキュリティ型: TLS 1.3およびTLS 1.2を使用し、強い暗号スイートのみを利用。
  • 推奨セキュリティ型: 一般的に推奨される設定で、セキュリティとアクセス性のバランスが取れています。
  • セキュリティ例外型: TLS 1.3~TLS 1.0のいずれかで、アクセス性を確保しますが、セキュリティの強度は低下します。

(※セキュリティ例外型での設定内容は2029年度を目途に終了予定のため、速やかに推奨セキュリティ型への移行が推奨されます)

設定要求: 各設定基準に応じた具体的なプロトコルバージョンや暗号スイートの要求設定が示されています。これには、遵守項目と推奨項目が含まれ、安全性を確保するために満たすべき要件が詳細に説明されています。

チェックリスト: TLSサーバの構築者や運用者が設定を実施する際に利用できるチェックリストも用意されており、設定忘れを防ぐためのガイダンスを提供します。

定期的な設定確認

TLS設定は定期的に見直し、最新の推奨設定に更新する必要があります。

TLS設定の具体的な確認方法はこちら。
TLSバージョンの確認方法とは?ブラウザ・OpenSSL・ツールでのチェック手順と安全な設定ポイント

TLS設定の見直しが必要かどうか判断に迷う場合や、自社だけでの確認が難しい場合は、第三者の視点で現状を整理することも有効です。通信設定を含めたWebサイト全体のセキュリティ状況を把握したい場合は、専門家によるセキュリティ診断や設定確認を検討するのも一つの方法です。

よくある質問(FAQ)

▼ TLSとは何ですか?
▼ TLS1.2とTLS1.3の違いは何ですか?
▼ TLSは導入すれば安全ですか?
▼ TLS1.0/1.1は使用しても問題ありませんか?

まとめ

TLSはWeb通信の安全性を支える重要な技術です。

  • 通信の暗号化
  • 認証
  • 改ざん防止

といった役割を持ちますが、適切な設定と運用が不可欠です。

また、TLSバージョン設定の確認や脆弱性対応と組み合わせることで、より安全なシステム運用が可能になります。

【関連情報】

● 量子コンピュータの実用化と耐量子暗号の標準化動向

公開日:2020年7月29日
更新日:2026年4月1日

編集責任:木下

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

最新情報はこちら

資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。
Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
投稿日:

TLSバージョンの確認方法とは?ブラウザ・OpenSSL・ツールでのチェック手順と安全な設定ポイント

Share
「TLSバージョンの確認方法とは?ブラウザ・OpenSSL・ツールでのチェック手順と安全な設定ポイント」アイキャッチ画像

サイバー攻撃の多くは、暗号化通信の不備や古いセキュリティ設定を狙って行われます。特に、TLS(Transport Layer Security)の設定が適切でない場合、通信の盗聴や改ざんといったリスクが高まります。そのため、企業のWebサイトやシステムでは、現在使用しているTLSバージョンを正しく把握し、安全な設定を維持することが重要です。本記事では、TLSバージョンの確認方法と、安全な設定・運用のポイントを実務視点で解説します。

TLS設定の全体像やリスクについては、基礎解説の記事とあわせて確認すると理解が深まります。TLS設定の全体像やリスクを先に理解したい方は、「TLS設定の安全性と確認ポイント」 を先にお読みください。

TLSとは?(基本の整理)

TLSは、インターネット上の通信を暗号化するためのプロトコルです。HTTPS通信は、このTLSによって保護されており、通信内容の盗聴や改ざんを防ぐ役割を担っています。

TLSのバージョン移行の背景

TLSはこれまで複数のバージョンが提供されてきましたが、セキュリティ上の問題により、古いバージョンは段階的に非推奨となってきました。特にTLS1.0およびTLS1.1は、暗号技術の脆弱性や攻撃手法の進化により安全性が不十分とされ、現在では主要なブラウザやサービスにおいて無効化されています。その結果、現在のWeb環境ではTLS1.2以上の利用が標準となり、さらにセキュリティと性能を強化したTLS1.3への移行が進んでいます。

TLSの仕組みやバージョンごとの違いについては、以下の記事で詳しく解説しています。
TLS設定の安全性と確認ポイント:古い暗号設定が引き起こすリスクと改善手順

TLSバージョンの確認方法

TLSバージョンは、以下の方法で確認できます。

ブラウザで確認(例:Chrome)

  1. Webサイトにアクセス
  2. F12で開発者ツールを起動
  3. [Security]タブを選択 →「Connection is secure」の項目を確認→ “TLS 1.3” などと表示されます

OpenSSLコマンドで確認(Linux/Mac)

“`bash
openssl s_client -connect example.com:443 -tls1_3

オンラインツールで確認

  • SSL Labs: https://www.ssllabs.com/ssltest/
  • CDN77: https://tools.cdn77.com/tls-test

最新のTLSバージョン利用状況

2025年時点における主要WebサイトのTLS対応状況を見ると、TLS 1.2は引き続き広く利用されており、TLS 1.3の採用も大きく進んでいます。一方で、TLS 1.0およびTLS 1.1は大幅に減少し、実運用ではほぼ利用されない状況となっています。

【各プロトコルバージョンのサポート状況】

出典:Qualys SSL Labs SSL Pulse (https://www.ssllabs.com/ssl-pulse/

現在もTLS 1.2が広く利用されていますが、多くの環境でTLS 1.3にも対応しており、サーバとブラウザの双方が利用可能な場合には、より新しいバージョンが優先的に使用されます。

また、最新のブラウザ環境では、通信の多くがTLS 1.3で行われるケースが増えており、特に主要サイトではTLS 1.3の利用が標準的になりつつあります。こうした傾向から、暗号化通信はTLS 1.3を中心とした環境へ移行が進んでいます。

さらに、主要ブラウザにおいてTLS 1.0およびTLS 1.1が無効化されたことで、これらの古いバージョンは互換性維持の目的でもほとんど利用されなくなっています。セキュリティおよび互換性の観点からも、TLS 1.2以上への対応が必須となっています。

古いTLS(TLS1.0 / 1.1)バージョンを使い続けるリスク

TLS1.0や1.1は既に非推奨であり、脆弱性が存在します。攻撃者は、サーバを攻撃するにあたって必ずブラウザを経由するわけではないため、TLS 1.1以下の接続を許容すること自体が危険であり、攻撃者にとって狙いやすいターゲットとなる可能性があります。脆弱性を悪用された場合、通信を盗聴し復号することで重要情報の窃取が可能になるというリスクも考えられます。

多くのサイバー攻撃は、古いTLSバージョンなどの脆弱性を悪用して侵入されます。
脆弱性への具体的な対応方法については、以下の記事で詳しく解説しています。
脆弱性対応の基本と実践ポイント

古いTLSが引き起こす問題と影響

古いTLSバージョンの危険性:BEAST/ダウングレード攻撃とは

BEAST攻撃SSL 2.0、SSL 3.0およびTLS 1.0 プロトコルに影響を及ぼし、攻撃者はWebブラウザとWebサイトとの間のSSL暗号化、またはTLS暗号化されたセッションのコンテンツを復号することができる*1
ダウングレード攻撃TLS 1.1以下のプロトコルでは、認証付き秘匿モード等の安全性の高いアルゴリズムがサポートされていないため、強度の低い暗号アルゴリズムを強制的に使用させることができる*2

現在のセキュリティ対策の指標として一般的に用いられる各種国際的標準でも、TLS 1.1以下の継続使用は下記のとおり推奨されていないため、利用している場合には、早急に対策を検討することが求められます。

NIST(National Institute of Standards and Technology、
米国立標準技術研究所)		2018年10月、ガイドライン案公開。2024年1月1日までにTLSを使用するすべての米国政府のサーバでTLS 1.3をサポートすることを提案
PCI DSS(Payment Card Industry Data Security Standard)2018年6月30日以降、初期TLSを利用しているシステムはクレジットカード業界における監査基準に適合しない
※POS POI環境のように既知の脆弱性の悪用が困難であったり、SSL/TLSをセキュリティコントロールとしては使用していなかったりする等、例外的にTLS 1.1以下が許容される場合がありますが、情報セキュリティのベストプラクティスではTLS 1.1以下のプロトコルバージョンはすべて非推奨とされています。*3

TLS1.2/1.3への移行手順と設定のポイント

安全な通信のためには、TLS1.2以上の利用が推奨されます。具体的には、TLS 1.1以下は無効(利用不可)とし、TLS 1.3およびTLS 1.2を有効にし、バージョンが新しいものから順に接続の優先度を高く設定してください。

2018年8月には、TLS 1.3が正式リリースされました。以降、TLS 1.3に対応するプラットフォーム等が次々に利用可能になっています。例としては、OpenSSL 1.1.1系(2018年9月)、OpenSSL 3.0系*4(2021年9月)、Java SE/JDK 11(2018年9月)、Java SE/JDK 8バージョン8u261以上*5(2020年7月)や、そのほかにもRed Hat Enterprise Linux 8(2019年5月)が挙げられます。

TLS 1.3のサポートにより、パフォーマンスとセキュリティが向上します。 構成上または仕組み上、現時点ではTLS 1.3を実装することが困難な場合、上記よりさらに古いシステムが稼働している可能性が考えられます。それらのシステムは、経年に伴う脆弱性の蓄積による影響や、サポート終了により新たに発見された脆弱性への対応策がなくなること等も危惧されます。

設定時のチェックポイント

  • TLS1.0 / 1.1の無効化
  • 安全な暗号スイートの使用
  • 証明書の適切な管理

TLS設定を継続的に管理する重要性

TLS設定は一度確認すれば終わりではありません。実際の運用環境では、サーバ構成や他システムとの兼ね合いにより、「安全そうに見えてもリスクが残っている」ケースも少なくありません。自社サイトのTLS設定について、

  • 定期的なチェック
  • 設定変更時の再確認
  • 最新のセキュリティ情報の把握

といった継続的な運用が重要です。

各種ガイドラインの紹介

PCI DSSについては、 2022年3月31日、Payment Card Industry Security Standards Council(PCI SSC)により、v4.0が公開されました。

本ガイドラインは、各種国際的標準(NIST SP800/PCI DSSv4.0/OWASP ASVS等)の準拠に向けた取り組みや、暗号設定における今後のセキュリティ対策を検討する上でも役に立ちます。ぜひ参照されることをおすすめします。

PCI DSS v4.0で求められるセキュリティ対策のポイントについては以下の記事で詳しく解説しています。ぜひあわせてご覧ください。
PCI DSS v4.0で変わるセキュリティ対策のポイント

TLS設定確認を効率化する方法

TLS設定の確認・管理を効率化するには、ツールや外部サービスの活用が有効です。

  • 現在の設定が本当に適切か判断できない
  • 古い設定や見落としがないか不安がある
  • 他のセキュリティリスクとあわせて確認したい

と感じた場合は、第三者の視点で状況を整理することも有効です。

BBSecでは

TLS設定の確認だけでなく、システム全体のセキュリティを強化するには、専門的な診断の実施が有効です。脆弱性診断やセキュリティ対策についてご検討の方は、お気軽にご相談ください。

ネットワーク脆弱性診断

悪意ある第三者の視点で、ネットワークをインターネット経由またはオンサイトにて診断し、攻撃の入口となる可能性のある箇所を検出します。システムの導入・変更・アップグレード時、運用中のシステムの定期チェックにご活用いただけます。

ネットワーク診断バナー広告

デイリー自動脆弱性診断

内部ネットワークおよびWEBサイトの脆弱性を自動診断し、その結果を専用のWEBページで報告します。新規設備投資が不要で、即時に結果を確認できるので、脅威が現実となる前に対策を施すことが可能になります。

CPEバナー広告

TLS設定の基本的な考え方やリスクについては、
→「TLS設定の安全性と確認ポイント」もあわせてご覧ください。

公開日:2022年4月6日
更新日:2026年4月1日

編集責任:木下

Security NEWS TOPに戻る
バックナンバー TOPに戻る

資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。
Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像