UPDATE

IPA : TLS1.1とTLS1.0を非推奨に

情報処理推進機構(IPA)は 2020 年 7 月 7 日、「TLS 暗号設定ガイドライン第3.0版」を公開しました。2018年 5 月に第 2.0 版を公開して以来約 2 年ぶりの改訂となります。

第 3.0 版では SSL3.0 を利用禁止としたほか、TLS1.0 や TLS1.1 について「安全性上のリスクを受容してでもTLS1.0、TLS1.1 を継続利用せざるを得ないと判断される場合にのみ採用すべきである」とし、鍵交換方式については、過去に遡及して通信データの中身が読まれる危険性を回避できる特性を持つ「ECDHE」や「DHE」を強く推奨しています。

SSL/TLS 証明書は、最低限のセキュリティ保護策です。

サーバ証明書が信頼されていない(認証局によって最終的に署名されていない)証明書は、中間者(MITM)攻撃を防止できず、SSL を効果的に使用できなくなります。他の方法で正しくない証明書(たとえば、有効期限が切れた証明書)は信頼を損ない、長期的にはインターネット全体のセキュリティを危険にさらします。たとえば、安全であるとマークされていないセッション Cookie は、特定の攻撃者によって取得される可能性があり、セッションハイジャックを引き起こし、Web アプリケーションの侵害につながります。

個人情報や機密情報が保管されているサイトではないから大丈夫という考えに注意

脆弱性のあるサイトを放置することはウェブサイトの機能を停止させたり、外部へ Cookie 情報を送付させて情報を盗まれる可能性があります。また、クロスサイトスクリプティング(XSS)などにより、利用者に悪影響を及ぼす可能性もあります。

自社のサイトの安全性を確認するためのサイト

自社の SSL Server 環境をテストするには、Qualys, Inc. が提供する下記の URL にアクセスし、自社の URL を入力すると SSL 診断が可能となります。

https://www.ssllabs.com/ssltest/

【注意】Do not show the results on the boards にチェックしない場合には、診断実施が公開されますのでご注意ください。

信頼性の低いサイトでは 評価 : F が表示される

このサイトでは、4つの視点で検査しています。

  1. 証明書が有効で信頼できるものかの確認
  2. サーバ構成の プロトコルサポート
  3. 鍵交換
  4. 暗号化

評価は、A+、A、B、C、D、D、F でランキングされますが、証明書の不一致の場合には M、サイト証明書が信頼されない場合には T が表示されます。証明書の信頼がない場合、アクティブなネットワーク攻撃者が接続セキュリティを破壊できるため、実際のセキュリティグレードは重要ではありません。

FileMaker Cloud を利用することで A+ を取得します

Claris 社が管理する FileMaker Cloud を利用するサイトは 全て A+ 評価となります。A+ の取得には、IPA で禁止されている SSL 2.0 と SSL 3.0 などのプロトコルをサポートしないことや、暗号強度、キーまたは DH パラメータの強度が高いことが条件になります。

Claris 社が管理する FileMaker Cloud を利用するサイトは 全て A+ 評価となる

Claris 社にとってセキュリティは最優先事項であり、お客様からの信頼を頂き製品を利用し続けていただくための重要な要素の一つです。Claris は、業界をリードするセキュリティ対策を一貫して実践することで、信頼を大切にしています。 

FileMaker Cloud と Claris Connect 製品の運用インフラは、Amazon Web Services(AWS)によってホストされています。AWS のデータセンターと AWS サービスは、Claris が提供する高度に安全で可用性の高い製品を実現するための物理的なインフラストラクチャ、環境制御、アクセス制御メカニズム、監視システムを提供しています。さらに Apple は、Claris のデータセンターサービスを提供し、ネットワーク、認証プラットフォーム、物理的なセキュリティシステムをサポートしています。

Claris は、卓越したサービスを提供するための絶え間ない努力と AWS や Apple との関係を通じて、デジタルトランスフォーメーションの実現に向けて、あらゆる規模の組織にエンタープライズグレードのサービスを提供しています。

Claris クラウドサービス セキュリティについてはこちらをご参照ください。

<参考URL>

TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)

https://www.ipa.go.jp/security/vuln/ssl_crypt_config.html

ガイドライン (2020年7月7日第3.0.1版公開)

脆弱性についてIPA が提供するYouTube サイト

https://www.youtube.com/playlist?list=PLi57U_f9scIJGRvDPcEuh_oQtHKUCMGv-

IPAが提供する普及啓発資料

https://www.ipa.go.jp/security/keihatsu/index.html