付録 2-1 SSL/TLS暗号設定ガイドライン
題名 SSL/TLS暗号設定ガイドライン
対象読者 SSL/TLSサーバを実際に構築するにあたって具体的な設定を行うサーバ構築者、実際のサー
バ管理やサービス提供に責任を持つことになるサーバ管理者、並びに SSL/TLS サーバの構 築を発注するシステム担当者
策定年・
文書のバージョン番号
2015年5月(初版)、2015年8月(Ver.1.1) Ver.1.1
発行機関 CRYPTREC (Cryptography Research and Evaluation Committees)・IPA(情報処理推進機構)
言語 日本語
文書の種類・テーマ 対象読者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドライン 暗号に関して運用・設定する文書(特に暗号プロトコルに関するもの)
文書の位置づけ 法的義務はない
他の文書との関係 IPA発行「安全なウェブサイトの作り方」とともに適切な暗号設定をする資料の1つとして使用 することができる。
NISC 発行「政府機関等の情報セキュリティ対策のための統一基準群」で参照するように求め られている。
概要 SSL/TLS 通信での安全性と可用性(相互接続性)のバランスを踏まえた SSL/TLS サーバ
の設定方法を説明したガイドライン。
「暗号技術以外の様々な利用上の判断材料も加味した合理的な根拠」を重視し、実現すべき 安全性と必要となる相互接続性とのトレードオフを踏まえたうえで、実際に設定すべき「要求設 定項目」として3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)
を提示。
第1章と第2章において、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識 をまとめたうえで、第3章でSSL/TLSサーバに要求される設定基準の概要について説明。
第4章から第6章では、第3章で定めた設定基準に基づき、プロトコルバージョン、サーバ証 明書、暗号スイートについての具体的なSSL/TLSサーバの要求設定項目について示している。
付録には、4章から6章までの設定状況を確認するためのチェックリストが掲載されており、「選 択した設定基準に対応した要求設定項目の設定忘れの防止」と「サーバ構築の作業受託先が適 切に要求設定項目を設定したことの確認」を行うために利用できるように作られている。
目次 1. はじめに
2. 本ガイドラインの理解を助ける技術的な基礎知識 3. サーバ構築における設定要求項目について 4. プロトコルバージョンの設定
5. サーバ証明書の設定 6. 暗号スイートの設定
7. SSL/TLSを安全に使うために考慮すべきこと
8. ブラウザを利用する際に注意すべきポイント 9. その他のポイント
付録(チェックリスト、サーバ設定編、暗号スイートの設定例、ルートCA証明書の取扱い)
URL https://www.ipa.go.jp/security/vuln/ssl_crypt_config.html
付録 2-2 安全な暗号鍵のライフサイクルマネージメントに関する調査鍵管理ガイドライン(案)
題名 安全な暗号鍵のライフサイクルマネージメントに関する調査 鍵管理ガイドライン(案)
対象読者 情報システムの調達・運用の担当者、及びこれから依頼・指示されシステムの構築・運用 を行う者
策定年・
文書のバージョン番号
2008年7月 初版
発行機関 IPA(独立行政法人情報処理推進機構)
言語 日本語
文書の種類・テーマ 暗号に関して運用・設定する文書(暗号プロトコル以外に関するもの)
暗号鍵管理に関するガイドライン 文書の位置づけ 法的義務はない
他の文書との関係 米国NIST SP 800-57 part 1を参考とし作成した文書。
概要 本文書は、情報セキュリティシステムを維持するための暗号鍵の管理について生成から 廃棄までのライフサイクルを考慮した管理手法を策定・確立することを目的とし、米国 NIST SP 800-57 part 1を参照したうえで作成したものである。
第2章では鍵管理に関する全般的な記述を行い、第3章では鍵情報のライフサイクル と、各段階の概要、鍵情報のリスクと対策について一般論を示し、第4章では具体的な暗 号利用場面における暗号鍵管理を示している。特に公開鍵技術を取りあげ、想定したシス テムモデルにおける鍵管理について、管理上の脅威と対策の方向性を示す。
第2章「暗号の利用と鍵管理」では、暗号鍵の管理上の不備に基づく脅威事例を例示し、
暗号の利用場面(PKIや蓄積データの暗号化、通信路の機密性確保、電子文書の長期保 存、パスワード管理など)や暗号鍵の分類(署名生成鍵、署名検証鍵等)を説明してい る。また、暗号鍵の管理について、暗号鍵のライフサイクル(①生成②送付③利用④期限 切れ⑤失効⑥廃棄)や鍵の有効期間設定、鍵危殆化の想定について解説。
第3章「暗号鍵ライフサイクル管理」では、①鍵の生成②鍵の配送③鍵の利用④鍵の保 管/バックアップ⑤鍵の期限切れ/失効/廃棄⑥鍵の回復、のフェーズごとに考慮すべき 事項を説明している。
第4章「PKIシステムにおける暗号鍵ライフサイクル管理」は、ライフサイクルを考慮 した暗号鍵管理の実際を具体的に示す例としてPKIにおける公開鍵証明書の管理とセキュ リティ対策について示している。
目次 1. はじめに
2. 暗号の利用と暗号鍵管理 3. 暗号鍵ライフサイクル管理
4. PKIシステムにおける暗号鍵ライフサイクル管理
URL https://www.ipa.go.jp/security/fy19/reports/Key_Management/index.html
付録 2-3 情報漏えいを防ぐためのモバイルデバイス等設定マニュアル
~安心・安全のための暗号利用法~
題名 情報漏えいを防ぐためのモバイルデバイス等設定マニュアル~安心・安全のための暗号利用 法~
対象読者 セキュリティ対策実施の責任者・担当者に加え企業・組織の全従業員、個人 策定年・
文書のバージョン番号
2013年4月 初版
発行機関 独立行政法人情報処理推進機構
言語 日本語
文書の種類・テーマ 暗号を利用したシステムの運用もしくはマネジメントに関する文書、及び特定の製品・サービス の利用に関する文書
情報漏えい対策としての暗号利用について具体的な対策等を解説した文書 文書の位置づけ 法的義務はない
他の文書との関係
概要 モバイルデバイスの紛失等による情報漏えいトラブルの回避策を利用者が自ら行えるよう、
情報の重要度にあわせた対策と、端末や可搬媒体ごとの対策を示したもの。「解説編」と「実践 編」の2部で構成。
「解説編」では、暗号製品が情報漏えい対策として正しく機能するために最低限知る必要があ る事項として、暗号化の必要性や暗号化の仕組み、暗号を利用する際の注意事項(暗号アルゴ リズムの脆弱性、正規の利用者へのなりすまし等)、暗号化が正しく安全に機能するための必要 事項(電子政府推奨暗号リストの利用や認証等)について解説。さらに、情報価値レベルと端末・
可搬媒体別に求められる対策レベルを説明。
「実践編」では、端末ロックやファイルの暗号化等に関して具体的に実施すべき対策を示して いる。また、情報漏えいの3つのユースケースに基づき、想定すべきリスクと実施すべき対策 の例を示している。さらに、広く利用されている代表的な製品(Windows7、Windows8、iOS6 等)について、具体的な情報漏えい対策の設定方法を示している。
目次 解説編
1. はじめに
2. 情報漏えい対策が正しく機能するために知っておくべきこと 3. 暗号化による情報漏えい対策の実施方法~ベースライン対策~
対策編
実践編Ⅰ 情報保護対策の具体的手法例 実践編Ⅱ ユースケースと対策例
実践編Ⅲ 代表的な製品の具体的な設定方法の実例
URL https://www.ipa.go.jp/security/ipg/documents/dev_setting_crypt.html
付録 2-4 CRYPTREC 暗号技術ガイドライン (SHA-1)
題名 CRYPTREC 暗号技術ガイドライン (SHA-1)
対象読者 電子政府のシステム調達者及び電子政府システムを構築する関係者 策定年・
文書のバージョン番号
2014年3月 初版
発行機関 CRYPTREC (Cryptography Research and Evaluation Committees)・NICT(情報通信研究機 構)・IPA(情報処理推進機構)
言語 日本語
文書の種類・テーマ CRYPTREC暗号リストの運用監視暗号リストに記載されているハッシュ関数SHA-1を利用す る際に必要となる情報を示したガイドライン
暗号の運用・設定に関する文書(暗号プロトコル以外に関するもの)
文書の位置づけ 法的義務はない
他の文書との関係 本書は、内閣官房情報セキュリティセンター(現:内閣官房内閣サイバーセキュリティセンタ ー)が公表した「政府機関の情報システムにおいて使用されている暗号アルゴリズム SHA-1
及び RSA1024 に係る移行指針」に基づいて作成されている。また、CRYPTRECは暗号技術
ガイドラインとして「SSL/TLSにおける近年の攻撃への対応」に関する暗号技術ガイドラインも 発行しており、CRYPTREC発行「SSL/TLS暗号設定ガイドライン」では、本書を参照している。
なお、NIST SP 800-131A「暗号アルゴリズムと鍵長の使用移行にかんする推奨事項」におい
ては、デジタル署名生成のSHA-1の使用は2013年以降許容されないことが述べられている。
概要 CRYPTREC暗号リストの運用監視暗号リストに記載されているハッシュ関数 SHA-1 を利
用する際に必要となる情報を示す文書。SHA-1の利用範囲に関して、非推奨及び推奨事項を第 2章で説明。
SHA-1の利用について、「電子署名における署名作成」に関してはSHA-1の利用は非推奨
とし、許容される利用範囲としては「電子署名における署名検証」、「メッセージ認証のための鍵 付ハッシング(HMAC)」「鍵導出関数(KDF)」「擬似乱数生成系」「パスワード・ハッシングやチェ ックサムの計算としての利用(hash-only applications)」の5分野をあげている。
第3章では、第2章で述べられた利用範囲に関する参考情報をNIST SP800から引用し、
記載。
目次 1. 本書の位置づけ
2. ハッシュ関数SHA-1の利用について 3. 参考情報
4. 参考文献
URL http://www.cryptrec.go.jp/report/c13_kentou_giji02_r3.pdf