COLUMN

コラム

第80回:SSL / TLS サーバー証明書の「ベストプラクティス」と「ライフサイクル管理」

SSL / TLS サーバー証明書のグローバルシェア No.1 のデジサート社から、SSL / TLS サーバー証明書や暗号化などに関して基礎知識からベストプラクティスまでを学べる eBook が公開されていますので、ご紹介します。

SSL / TLS サーバー証明書を活用した、安全で効率的な Web サイト運用のためには「ベストプラクティス」とよばれる最適な方策を実施する必要があります。

SSL / TLS 証明書は 2020 年 9 月 1 日発行分より最長で約 1 年(397 日)の有効期限となり、期間が大幅に短縮されたことから、その更新管理が煩雑になっています。大量の証明書を管理していたり、複数の部門や担当者が証明書を購入している場合はなおさらです。事実、昨年の 1 年間で世界全体の企業の 60 % が「重要なビジネスアプリケーションに影響が出るような証明書関連の障害」を経験しているというデータもある、とのことです。

では、証明書管理のベストプラクティスを実現するためには、どのようなフレームワークに準拠すれば良いのでしょうか。

具体的には、SSL / TLS 証明書の管理について「識別」「改善」「保護」「監視」の4 つのフェーズに分け、それぞれのフェーズで複数のベストプラクティスを検討しています。また、各フェーズには「まとめ」が用意されていますので、理解をより深めることができます。いくつか内容をご紹介しましょう。

 

 

1.適切な証明書タイプを実装する
SSL / TLS 証明書には、「EV 証明書」「OV(企業認証)証明書」「DV(ドメイン認証)証明書」の 3 種類がありますが、これらは同等ではありません。広く公開されたサイトを保護する際に使用する SSL / TLS 証明書には、運営している組織が本物であることを証明する「EV 証明書」または「OV(企業認証)証明書」の利用を推奨しています。対して、比較的安価で取得できる「DV(ドメイン認証)証明書」は、フィッシングサイトにも利用されているケースがあることから、アクセスするユーザーが限られる社内のイントラなどでの利用が想定されます。

 

【参照】第52回:あなたの会社の Web サイトは、お客様のブラウザからどのように見えてますか?

 

2.脆弱な暗号鍵、暗号スイート、ハッシュを削除する
TLS / SSL サーバー証明書リストから未解決の問題が明らかになることがあり、そのときが問題の改善に取りかかるチャンスです。証明書には公開鍵や署名などが含まれていますが、古かったり脆弱性があったりして攻撃を受けやすいものがあります。

例えば、SSL / TLS 証明書では SSL v2、SSL v3、TLS 1.0、TLS 1.1、暗号スイートでは DES、3DES、RC4 などは古く脆弱であるため無効にする必要があります
これらのほとんどは、すでに Web サーバーで利用することができなくなっていますが、内部向けの Web サイトに存在している可能性があります。この場合はアップグレードが不可欠になります。

【参照】第56回:常時 SSL 化の波がやってきた!SSL 証明書の正しい選び方 2 つのポイント

 

3.すべての証明書とドメインの所有者を明確にする
複数の部門や担当者が個別に証明書を購入している場合は、その担当者のうち一人が退職してしまうとその証明書が管理できなくなり、期限切れによって大きな障害を引き起こす可能性があります。このため、各証明書の所有者を指定し、所有権の更新と譲渡のプロセスを確立しておくことが不可欠です。

自社にある全ての証明書を把握することはもちろん、購入者や所有者も明らかにして、更新を含む管理体制を確立することがベストプラクティスのひとつになります。

【参照】第57回:ドメイン管理者が理解すべき SSL 証明書の信頼性を高める取り組みと失効管理のポイント

 

4.SSL / TLS 証明書のライフサイクル管理と複数年プラン
デジサート社が無償で提供している CertCentral を活用することで、煩雑な SSL / TLS 証明書のライフサイクル管理の最適化がおこなえるだけではなく、セキュリティリスクの軽減を実現することが可能です。

 

SSL / TLS 証明書のライフサイクル自動化ツール:CertCentral

 

CertCentral の主な機能としては、

  • 証明書の可視化
  • 証明書更新の全自動化機能(更新漏れの防止)
  • SSL / TLSバージョンの確認(※ 古い暗号化アルゴリズムの検知)
  • 証明書インストール先の IP アドレス確認
  • 発行済証明書のインストール状況確認
  • インストール先サーバーの脆弱性確認 などが可能です。

冒頭で述べたように、2020 年 9 月以降、新たに発行する SSL / TLS 証明書の最大有効期間が「398 日を超えないもの」に短縮されました。コンピュータの高性能化により既存の暗号が解読されたり、IoT デバイスなどを対象とした新しい攻撃手法がもたらすリスクが高まる中、証明書の最大有効期間を短縮化していくことで、常に最新の標準を満たし、機能を備えた SSL / TLS 通信が活用できるようになります。一方、証明書期限が約 1 年に短縮されることによって SSL / TLS 証明書の管理や購入がより煩雑になってしまうことは否めません。更新を忘れたり漏れたりしてしまうリスクもあります。

そこで「複数年プラン」を 2020 年 9 月からご提供開始しました。このプランは、SSL / TLS サーバー証明書の「利用権」を最大 6 年間までご購入いただくことができるサービスで、証明書の有効期間短縮に対応しながらも、長期にわたる SSL / TLS 証明書の柔軟かつ安定した運用ができます。また、証明書管理プラットフォームである CertCentral での証明書の申請、発行、インストールの自動化機能と、複数年プランを併用することで、有効期間短縮による業務負荷とコストの軽減が実現できます。SSL / TLS の運用を一度見直してみてはいかがでしょうか。
複数年プランをわかりやすく紹介した動画を公開しています。次回のご申請および更新時にご検討ください。

▶動画で学ぶSSLサーバー証明書と複数年プラン はこちらから

役立つベストプラクティスが多数掲載されています。ぜひ日頃の業務にお役立てください。
–>> TLSのベストプラクティス(デジサート eBook)

企業の Web サイトを守るためには、WAF 、改ざん検知、脆弱性診断 / 管理とともに、常時 SSL 化が必要不可欠となっています。アイビーシーは、企業の Web サイトを守るためのセキュリティソリューションをご用意しておりますので、ぜひお問い合わせください。

by カスタマーサクセス部 部長 岩本 幸男

 

 

一覧を見る

CONTACT

お気軽にお問い合わせ下さい