「SSL/TLS暗号設定ガイドライン改訂及び鍵管理ガイドライン作成のための調査・検討」報告書の公開

独立行政法人情報処理推進機構（以下「IPA」という。）では、近年の情報セキュリティの基盤技術として広く利用されている暗号について、暗号技術評価プロジェクトCRYPTRECの活動を通じ、SSL (Secure Sockets Layer) / TLS (Transport Layer Security) の適切な利用促進を目的として、SSL/TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするための「SSL/TLS暗号設定ガイドライン」を2015年5月に公開しました。その公開から約3年が経過し、SSL/TLSを取り巻く状況の変化やSSL/TLSをサポートするアプリケーションのバージョンアップ等を反映した内容とするための改訂が必要となってきました。

また、2016年度のCRYPTREC活動において、暗号を正しく使うためには暗号鍵が適切に管理されていることが重要であるとの意見が出されたことから、暗号鍵を適切に管理するためのガイドラインとして「鍵管理ガイドライン」の作成を行う方針を打ち出しました。

これらの活動を実行するために、「SSL/TLS暗号設定ガイドライン」改訂に係る調査・検討および「鍵管理ガイドライン」の作成に係る事前調査を実施しました。調査結果の詳細については、調査報告書をご参照ください。

以下の観点での調査を実施しました。

1. SSL/TLSに関する国内外の標準化に係る調査
2. SSL/TLS暗号設定ガイドラインにおける引用文献等の改訂版の内容に係る調査
3. 設定・実装状況に係る調査
4. SSL/TLSに関する脆弱性情報・危殆化情報に係る調査

これらの調査結果をまとめ、「SSL/TLS暗号設定ガイドライン」の改訂案を具体的にまとめました。2018年5月8日に公開した「SSL/TLS暗号設定ガイドライン」第2.0版の改訂内容の根拠資料となった詳細な調査結果が記載されています。

鍵管理ガイドラインを作成するにあたり、現在国内外にどのような鍵管理ガイドラインが存在するのか、それらの文書体系も含めて把握するため、以下の文献を調査対象としました。

• タイトルまたは目次に「Key Management」が含まれているNIST (National Institute of Standards and Technology：アメリカ国立標準技術研究所) の各文献
• タイトルまたは目次に「Key Management」が含まれているENISA (European Network and Information Security Agency: ヨーロッパネットワーク情報セキュリティ庁) の各文献
• OASIS Key Management Interoperability Protocol Specification Version 1.3
• RFC 3647
• 国内の鍵管理に関する文献

これらの文献に対して、以下の方法で調査を行いました。

1. 調査対象の文献の全体像を把握するため、鍵管理が主テーマ各文献に対して扱っている項目を洗い出し、行に文献の目次の一覧、列に文献を並べたマッピングを作成してまとめた。複数の文献で同じ項目や似たような項目を扱っている場合は、述べられている内容が同じなのか違うのかを確認した。
2. 参照している文献を確認し、図に整理した (下図参照) 。
3. ポイントとなる文献は重点的に内容を確認し、オリジナルな主張を述べている箇所がある文献についてもその内容を確認した。

各文献の参照関係の図 (調査報告書 57ページより)。用語・詳細については調査報告書を参照

上記に加え、NISTで4回開催された鍵管理のワークショップ「Cryptographic Key Management Workshop」の成果物及び中間報告会における有識者の議論もまとめてあります。

• 調査報告書 (2.38MB)
• 調査報告書 別紙1 本文に係る改訂案 (1.02MB)
• 調査報告書 別紙2 付録Bおよび付録Cに係る改訂案 (664KB)
• 調査報告書 別紙3 鍵管理 文献のトピック一覧 (436KB)
• 添付資料1 SSL/TLSガイドラインの調査 (331KB)
• 添付資料2 ブラウザ調査 (319KB)
• 添付資料3 引用文献調査 (207KB)
• 添付資料4 SSL/TLS実装状況調査 (669KB)
• 添付資料5 SSL/TLSに関する脆弱性情報 (221KB)

• NTTテクノクロス株式会社