| Interstage Application Server セキュリティシステム運用ガイド |
|
目次
索引
|
本章では、セキュリティ動向と、本製品における実装と推奨について説明します。
なお、製品出荷時の情報であるため、状況が変化している場合もあります。
暗号アルゴリズムの安全性に対する研究や、マシン性能の向上によって、以前は安全とされていた暗号が、現在では安全とは言えなくなってきています。
2003年に総務省と経済産業省から「電子政府推奨暗号リスト」が公表されており、現時点における、暗号アルゴリズムを選択するときの指針となっています。
電子政府推奨暗号リストから外されている暗号アルゴリズムには、以下があります。
電子政府推奨暗号リストにおいて、条件付きで掲載されている暗号アルゴリズムには、以下があります。
現在ではまだ一般的に利用されている暗号アルゴリズムであるため、当面の継続利用が認められたものです。他の推奨暗号アルゴリズムが利用できる場合には、それらの利用が推奨されています。
上記と、通信相手の製品が実装している暗号アルゴリズムを考慮し、適切な暗号アルゴリズムを選択するようにしてください。
SSL2.0にはプロトコルにセキュリティ上の問題があることが分かっているため、SSL3.0やTLS1.0への移行が推奨されています。しかし、他社製品やWebブラウザとの通信を可能にする必要があるため、引き続きSSL2.0での通信を許す設定にしてあるサービスもあります。
サービスと、そのサービスの通信相手の製品で利用できるSSLプロトコルのバージョンを確認し、可能であればSSL2.0での通信を受け付けない設定に変更することを推奨します。
証明書の信頼性は、信頼できる認証局に発行されることによって保証されます。そのため、認証局では、CPS(Certification Practice Statement)を策定し、認証局の運営方針や責任範囲を明らかにすることで、認証局としての信頼性を維持しています。証明書に署名するために使用する秘密鍵は、外部への持ち出しができないような(耐タンパー性の)機器を用いて厳重に管理するのが一般的です。さらに、証明書を発行する際に申請者の身元確認などの審査を行うことにより、認証局の信頼性を維持しています。
証明書を利用する製品やWebブラウザなどには、このような信頼できる認証局の証明書があらかじめ組み込まれています。本製品においては、日本ベリサイン株式会社や日本認証サービス株式会社の認証局証明書を組み込んでいます。
しかし、本製品がInterstage管理コンソールのSSL暗号化通信用に生成した証明書や、scsmakeenvコマンドで生成したテスト用証明書は、認証局の厳密な運用に基づいて発行された証明書ではありません。証明書の信頼性や利用責任は、その証明書の利用者や受けとった人の判断に委ねられます。そのため、運用時には、信頼できる認証局から発行された証明書を利用することを推奨します。
認証局の証明書は、あらかじめ証明書のフィンガープリント(拇印)などを確認し、Interstage証明書環境や証明書/鍵管理環境やキーストアに登録したうえで利用することを推奨します。通信時に認証局の証明書が送付されてきた場合についても、同様に確認し登録したうえで利用してください。
利用している証明書の信頼性が低いと、証明書を利用した暗号・署名の信頼性も低下します。システムを安全に運用するために、信頼できる認証局から証明書を入手して利用するようにしてください。
|
目次
索引
|