TLSの脆弱性について
インターネットが普及し、Amazonや楽天市場などのECサイトで買い物するのが当たり前になっていますが、その際行うログインや決済などにTLSというプロトコルが使われています。
昨今有名WebサイトやAWSなどのパブリッククラウドでもユーザが安全に利用できるようTLSの古いバージョンのサポートを終了するなどの動きが進んでいるため、TLSとはなにか、なぜ新しいバージョンにする必要があるのかをお伝えさせていただきます。
1.TLSとはなにか
TLS とは「Transport Layer Security」の略で、インターネット上でデータを暗号化して送受信する仕組みのひとつです。
主にWebサイトとの通信に用いられるのが一般的であり、クレジットカード番号やログイン情報などの個人情報を取り扱う際に情報が盗み取られるのを防止しています。
過去にはSSLというプロトコル利用されていましたが、脆弱性が発見されたためTLSへの移行が進んでおり、今ではSSLはほとんど使われていません。
2.新しいバージョンに移行する理由
現在使用されているTLSバージョンはTLS 1.0、1.1、1.2、1.3の4つあります。
TLS 1.0、1.1はダウングレード攻撃(最弱の暗号アルゴリズムを強制的に使わせることができる攻撃方法)に対する脆弱性が発見されており、通信を十分に安全に保つことができません。
そのため、2020 年 3 月時点で脆弱性が発見されていないTLS1.2、1.3への移行が必要とされています。
3.企業の対応
セキュリティに対する対応の重要性は多くの企業が理解していることもあり、TLS 1.2、1.3への移行対応を行っている企業が多くあります。
ここでは企業ごとの一例を紹介させていただきます。
【銀行】
セキュリティレベルの高い銀行などのWebサイトでは早い段階からTLS1.2への移行を進めており、みずほ銀行や三菱UFJ銀行のインターネットバンキングでは2020年初旬、Webサイトも次いでTLS1.1以前のバージョンでアクセス不可になるよう対応されております。
【Apple】
Appleではアプリとウェブサービスとの間でセキュアな接続のために利用する機能「App Transport Security」がリリースされ、iOS9とOS X 10.11以降サーバ側の設定で「TLS1.2」を有効にしていない場合iPhoneやiPad、Macに繋がらなくなりました。
【AWS】
AWSでもTLS 1.2 がAWSAPIのエンドポイント接続に必要な最小バージョンとなり、2023年6月末までにTLS1.1以前のバージョン利用ができなくなっています。
4.最後に
TLSのバージョンアップを実施するうえでサーバやアプリケーションの設定変更や利用者側の設定変更対応が必要な事もあり、まだ利用できることを理由にTLS1.1以前のバージョンを利用している企業も少なくありません。
脆弱性が発見されているにも関わらずまだ利用できる、何も起きていないからと言って対策を怠った場合、悪意のあるユーザの標的になったり、セキュリティ対策ができていない企業として社会的信用を失ってしまう可能性が考えられます。
TLSに限らず古いセキュリティ方式のサポートを終了する際にはサービス利用が不可になる顧客の有無を考慮しつつ対応を行わなければならないため、顧客への周知や移行方式の検討など多事多端となりますが、そういったことも乗り越えたうえでセキュリティに関する情報を常に確認しセキュリティの高度化に取り組んでいくことが必要です。
【参考文献】
総務省
IPA
https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005ufv-att/ipa-cryptrec-gl-3001-3.0.1.pdf
三菱UFJ銀行
みずほ銀行
apple
AWS
執筆者
髙松 佑樹
株式会社Dirbato(ディルバート)
コンサルティンググループ シニアコンサルタント
SIerとしてインフラ・ネットワークの設計から構築、運用まで一貫して担当。Dirbatoに入社後、前職の知見を活かし大手ビジネスインテグレーターに対する品質向上に向けたアセスメント、大手事業会社に対するインフラ環境改善支援等の業務に従事。
この記事が気に入ったらサポートをしてみませんか?