後発的な環境制約にご注意~クラウドサービスを安心して使い続けるために~
SSL3.0/TLS1.0のサポート終了が発表されています。サポートの終了した環境を利用し続けるたことの潜在的なリスクを明らかにし、業務を継続したまま新しい環境へ移行するための1つの暫定的な方式を提言します。
テクノロジーコラム
- 2016年01月25日公開
(追記:2016年1月25日)
PCI-DSS改訂に基づく新たなTLSサポート要件への適合期限が急遽延期されたことに伴い、本稿で紹介したSalesforceのTLS1.0サポート終了時期も当初予定の2016年春から延期されることとなった。新しい終了スケジュールは、Sandbox環境は2016年6月、その他の環境は2017年早期と発表されている。
アプリケーションの寿命
普段使っているPCや携帯電話が故障する。あるいは突然動かなくなる。そういった経験をされた方は多いのではないだろうか。サーバの稼動するマシンも同様だ。機械は故障するものである、ということは常識ともいえるので、業務で情報機器を利用している場合は、通常は一定の期間で交換することが想定されている。
では、アプリケーションはどうだろうか。一見、物理的な磨耗や故障が生じないため、機能的に不足がなければ交換の必要はないように思われる。しかし実際には、アプリケーションも適切なライフサイクルで更新する必要がある。アプリケーション自体に目に見えるような劣化はなくても、環境の変化には対応しなければならないためである。
環境の変化としては、例えば、OSやミドルウェアのアップデートがある。記憶に新しいところでは、Windows XPやWindows Server 2008のサポート期間終了が話題となった。また、Apache TomcatのようなOSS製品でも、古いバージョンに対するサポートを終了する宣言をしている。さらに2014年にはSSL3.0の脆弱性「POODLE」が世を賑わせたが、それを受けるように2014年10月にはGoogleがSSL3.0のサポート終了を宣言している。
サポートの終了した環境でアプリケーションを動作させたりサービスを利用し続けることは、潜在的なリスクを抱えることになるため、新しい環境への移行を進める必要がある。
(参考URL)
Tomcat5.5のサポート終了について:
http://tomcat.apache.org/tomcat-55-eol.html
Google SSL3.0サポート終了:
https://googleonlinesecurity.blogspot.co.uk/2014/10/this-poodle-bites-exploiting-ssl-30.html
では、アプリケーションはどうだろうか。一見、物理的な磨耗や故障が生じないため、機能的に不足がなければ交換の必要はないように思われる。しかし実際には、アプリケーションも適切なライフサイクルで更新する必要がある。アプリケーション自体に目に見えるような劣化はなくても、環境の変化には対応しなければならないためである。
環境の変化としては、例えば、OSやミドルウェアのアップデートがある。記憶に新しいところでは、Windows XPやWindows Server 2008のサポート期間終了が話題となった。また、Apache TomcatのようなOSS製品でも、古いバージョンに対するサポートを終了する宣言をしている。さらに2014年にはSSL3.0の脆弱性「POODLE」が世を賑わせたが、それを受けるように2014年10月にはGoogleがSSL3.0のサポート終了を宣言している。
サポートの終了した環境でアプリケーションを動作させたりサービスを利用し続けることは、潜在的なリスクを抱えることになるため、新しい環境への移行を進める必要がある。
(参考URL)
Tomcat5.5のサポート終了について:
http://tomcat.apache.org/tomcat-55-eol.html
Google SSL3.0サポート終了:
https://googleonlinesecurity.blogspot.co.uk/2014/10/this-poodle-bites-exploiting-ssl-30.html
セキュリティ基準への継続的な対応
OSやミドルウェアといった技術的な環境以外にも、アプリケーションの変更を強いる要因がある。業務アプリケーションであれば、その関連法規やガイドラインといったさまざまな規制に対応する必要がある。そしてこれらの規制もまた、時代の変化に応じて改正を繰り返している。
その中の一つに、PCI-DSS(Payment Card Industry Data Security Standard)がある。これは、クレジットカードを取り扱う加盟店やサービスプロバイダにおいて、カード会員データを安全に取り扱うことを目的に策定されたクレジットカード業界のセキュリティ基準である。
PCI-DSSでは、2015年4月になされた改訂(ver3.1)において、SSLおよび初期のTLSは暗号方式として強力であるとはいえないとして、利用が事実上制限されることになった。このため、PCI-DSS準拠が求められるサービスやアプリケーションにおいて、SSLおよび初期のTLSを使い続けることはできない。この改訂を受けて、2015年7月にはSalesforceがTLS1.0のサポート終了を表明した。
(参考URL)
PCI-DSS ver3.1の解説:
http://www.atmarkit.co.jp/ait/articles/1510/28/news011_3.html
Salesforce TLS1.0サポート終了:
https://help.salesforce.com/apex/HTViewSolution?id=000221207
その中の一つに、PCI-DSS(Payment Card Industry Data Security Standard)がある。これは、クレジットカードを取り扱う加盟店やサービスプロバイダにおいて、カード会員データを安全に取り扱うことを目的に策定されたクレジットカード業界のセキュリティ基準である。
PCI-DSSでは、2015年4月になされた改訂(ver3.1)において、SSLおよび初期のTLSは暗号方式として強力であるとはいえないとして、利用が事実上制限されることになった。このため、PCI-DSS準拠が求められるサービスやアプリケーションにおいて、SSLおよび初期のTLSを使い続けることはできない。この改訂を受けて、2015年7月にはSalesforceがTLS1.0のサポート終了を表明した。
(参考URL)
PCI-DSS ver3.1の解説:
http://www.atmarkit.co.jp/ait/articles/1510/28/news011_3.html
Salesforce TLS1.0サポート終了:
https://help.salesforce.com/apex/HTViewSolution?id=000221207
実は影響の大きいSSL3.0/TLS1.0問題
これらの対応は、サービス側だけの問題ではない。サービス側でのSSL3.0やTLS1.0の利用制限に伴い、一部の古いOSやブラウザではサービス自体の利用ができなくなってしまうことが分かっている。Salesforceは今回、TLS1.1/1.2への対応状況として以下のような情報を発表している。
(参考:https://help.salesforce.com/apex/HTViewSolution?id=000221207)
前述の通りWindows XPのサポートは既に終了しているが、PCの交換やOSのアップデートにはコストも手間もかかるため、実際には現在も使用し続けている企業はまだ多数存在する。あるいは、Internet Explorer 8でしか動作しないサービスを利用している企業も存在する。
さらに見逃せないのはサーバ間通信だ。古いWindows ServerやIIS(Internet Information Services)では、新しいバージョンのTLSが正常に動作しないことがある。サーバの更改は業務を停止する必要を伴うため、利用者のPC交換やOSのアップデートに比べて時間がかかることが想定される。
ブラウザ | 対応状況 | 備考 |
Microsoft Internet Explorer 11 | ○ | デフォルト対応 |
Microsoft Internet Explorer 9,10 | △ | Windows 7 以上では有効化設定により対応 Windows Vista 以前では非対応 |
Microsoft Internet Explorer 8 | × | 非対応 |
Mozilla Firefox | ○ | Version27 以上でデフォルト対応 |
Google Chrome | ○ | Version38 以上でデフォルト対応 |
Google Android OS ブラウザ | △ | Android5.0 以上でデフォルト対応 Android4.4 では設定により対応 Android4.3 以前では非対応 |
Apple Safari | ○ | OS X 10.9 以上で実行デスクトップ用Safariバージョン7以上でデフォルト対応 iOS 5 以上で実行されるモバイル用Safariバージョン5以上でデフォルト対応 |
前述の通りWindows XPのサポートは既に終了しているが、PCの交換やOSのアップデートにはコストも手間もかかるため、実際には現在も使用し続けている企業はまだ多数存在する。あるいは、Internet Explorer 8でしか動作しないサービスを利用している企業も存在する。
さらに見逃せないのはサーバ間通信だ。古いWindows ServerやIIS(Internet Information Services)では、新しいバージョンのTLSが正常に動作しないことがある。サーバの更改は業務を停止する必要を伴うため、利用者のPC交換やOSのアップデートに比べて時間がかかることが想定される。
どうしても移行が間に合わない!という時は
本来であれば、セキュリティの観点からは、サポートの切れたOSは使用し続けるべきではないし、ブラウザも常に最新化されるべきである。しかしながら、さまざまな事情により更新が難しいという状況も事実としてある。企業のIT部門は、このジレンマを抱えながら、業務を停めることなく運用を続けていかなければならないという使命を負っている。
一斉に更新することが難しければ、可能な範囲から進めていくしかない。例えば前述のPCI-DSS ver3.1も、即時の対応を要求するのではなく、一定の移行期間を設定している。IT部門としては、この期間で実現可能な移行スケジュールを計画して実施していくことが必要となる。
さて、移行期間におけるSSL3.0/TLS1.0問題への一つの暫定的な対処として、SSL/TLSバージョンの変換ゲートウェイを社内に設置する、という方式がある。これは、社内の古い端末からのSSL3.0/TLS1.0による通信を、新しく安全なTLS1.1/1.2に変換してインターネット上に流すというサーバである。
移行期間にあっては複数のバージョンの端末が混在することになるため、バージョンの差異によるトラブルが発生する可能性が予想される。また、万が一移行期間内にサーバも含む全ての端末の対応が完了しない場合、クラウドサービスを利用した業務に支障がでる可能性がある。しかし、変換ゲートウェイを中継させることで、暫定的に利用を継続することが可能となる。
もちろんセキュリティ上の観点からは推奨できるものではない。しかし、どうしても必要な場合には、リスクの存在と限界を認識した上で、移行に必要な範囲に限って利用することは、検討する余地があるだろう。
一斉に更新することが難しければ、可能な範囲から進めていくしかない。例えば前述のPCI-DSS ver3.1も、即時の対応を要求するのではなく、一定の移行期間を設定している。IT部門としては、この期間で実現可能な移行スケジュールを計画して実施していくことが必要となる。
さて、移行期間におけるSSL3.0/TLS1.0問題への一つの暫定的な対処として、SSL/TLSバージョンの変換ゲートウェイを社内に設置する、という方式がある。これは、社内の古い端末からのSSL3.0/TLS1.0による通信を、新しく安全なTLS1.1/1.2に変換してインターネット上に流すというサーバである。
移行期間にあっては複数のバージョンの端末が混在することになるため、バージョンの差異によるトラブルが発生する可能性が予想される。また、万が一移行期間内にサーバも含む全ての端末の対応が完了しない場合、クラウドサービスを利用した業務に支障がでる可能性がある。しかし、変換ゲートウェイを中継させることで、暫定的に利用を継続することが可能となる。
もちろんセキュリティ上の観点からは推奨できるものではない。しかし、どうしても必要な場合には、リスクの存在と限界を認識した上で、移行に必要な範囲に限って利用することは、検討する余地があるだろう。
※文中に記載した会社名、製品名などの固有名詞は、一般に該当する会社もしくは組織の商標または登録商標です。
※当ソリューション・製品に関するお問い合わせリンクは、NTTソフトウェアのお問い合わせ専用ページ(社外サイ ト:MARKETINGPLATFORM)に遷移します (MARKETINGPLATFORMは、株式会社シャノンが提供しているクラウドアプリケーションです)。
連載シリーズ
テクノロジーコラム
あわせて読みたい
著者プロフィール
NTT-TX