「Heartbleed」「POODLE」など、2014年にはSSLを取り巻く脆弱性が相次いで明るみに出て、大きな騒ぎとなった。企業にはどのような影響があるのか。有効な対処法は。詳しく解説する。
一般的なWebベースのシステムにおいては、安全性を確保するための通信路暗号化技術である「SSL」が広く活用されている。しかし2014年は、SSLとSSLを利用するユーザーにとって、大きな転換が迫られる年であった。2つの大きな脆弱性が発見されたためである。
1つは、オープンソースのSSL/TLSライブラリである「OpenSSL」に発見された脆弱性の「Heartbleed」、もう1つはSSL 3.0で発見された脆弱性の「POODLE(Padding Oracle On Downgraded Legacy Encryption)」である。どちらも深刻な情報漏えいを引き起こす危険があるとして、多くのサーバ管理者が対応に追われた。Webサイトの運営にも大きな影響を及ぼしたことだろう。
一方、SSLサーバ証明書のハッシュアルゴリズムについても、「SHA-1」から「SHA-2」への移行を急ピッチで進めなければならない時期に突入している。既にSHA-1の安全性低下に伴い、移行の必要性を指摘する声は高まっており、WebブラウザベンダーやSSLサーバ証明書ベンダー各社が対応を進めている。SHA-1は、2016年以降の発行や使用の停止などが予定されているからだ。
SSLサーバ証明書や関連ソフトウェアの更新を検討する際に注意すべきなのは、今後もさらに新しい脆弱性が発見される恐れが十分にあるという点だ。こうした中、SSLサーバ証明書のユーザー企業にはどのような準備が必要になるのだろうか。POODLEなどSSLサーバ証明書を取り巻く脆弱性やSHA-2移行についておさらいしつつ、対策のポイントを解説しよう。
提供:合同会社シマンテック・ウェブサイトセキュリティ(旧 日本ベリサイン株式会社)
アイティメディア営業企画/制作:TechTargetジャパン編集部
ITmediaはアイティメディア株式会社の登録商標です。
