こんにちは!ロリポップCRチームのotomiです。
このたび、ロリポップにおけるデータのやりとりの暗号化(SSL/TLS)についての要件ページを公開いたしました。
ロリポップにおけるデータのやりとりの暗号化(SSL/TLS)について
この記事では、公開したことのお知らせと、上記ページの内容についての補足を説明いたします。
SSL/TLSとは
SSL/TLSとは、インターネット上でのデータのやりとりを暗号化し、第三者に情報を盗み見られたりしないようにする通信方法のことです。インターネット上の通信を安全に保つセキュリティプロトコルと呼ばれるものの一種です。
SSL/TLSについては別途詳しい記事を別途公開しております。詳細について知りたい方は以下の記事をご参照ください。
SSL/TLSとは?仕組みを知って忘れずに独自SSLを設定しよう!
今回公開したページについて
ここから、今回公開したページについての補足を説明していきます。
公開した背景
ロリポップのウェブサーバーでは独立行政法人情報処理推進機構(トップページのURLは https://www.ipa.go.jp/index.html)(以下、「IPA」とする)が定めるTLS暗号設定ガイドラインV 3.0.1において、推奨セキュリティ型を満たしており、安心してサイトを訪問いただけるようになってなっています。
SSL/TLSについてのお問合せはロリポップをご契約中の方、ご契約を検討されている方のどちらからも定期的にいただいており、ロリポップのサーバーのセキュリティについての関心が一定数あることを認識しています。
そういった関心がある背景を踏まえ、推奨セキュリティ型を満たしていることをみなさまに知っていただくべく、今回要件を公開することにいたしました。
セキュリティに関することであるため、各項目に関する詳細はお伝えできないことも多いのですが、この記事がロリポップのセキュリティ要件に興味のある方の疑問の解消につながれば幸いです。
ページについての解説
専門的な内容なので、記事の意味を全て理解できなくても大丈夫です。ロリポップはセキュリティをしっかりやっているのだな〜と思っていただければそれで記事の目的はほぼ果たすことができています!
しかしそれではあまりにも専門外の方が読んでもおもしろくないため、公開したページ内で記載している項目について簡単に説明いたします。
最初の表「推奨セキュリティ型チェックリスト」
「チェック内容」欄に書かれているものは、サーバー内でどのように暗号化を実装しているかを表しています。
一概に暗号化といってもさまざまな方法が存在しています。ですが、コンピューターの性能の進化に伴う計算速度の向上により現実的な時間で解読されるようになったなどの理由から、すでに安全ではなくなった方法が多数存在しています。
最初の表である「推奨セキュリティ型チェックリスト」では、そのように安全ではなくなった暗号化の方法を採用するなどして、セキュリティの低い実装になっていないかが確認できるようになっています。
例として2つめの項目にある「SSL2.0からTLS1.1までを設定無効(利用不可)にしたか」について解説します。
SSLは各バージョンにおいて脆弱性が発見されており、最終バージョンである3.0においても2014年に大きな脆弱性が発見され、使用が禁止されました。
現在ではTLS(Transport Layer Security)という規格が一般的に利用されています。
そのためSSLは使われていない規格の名称になりますが、通信の暗号化の規格として広く使われていることを踏まえ、旧規格の名称を含んだSSL/TLSと呼ぶことが多くあります。ロリポップでも伝わりやすさを重視してオプション名などにSSLの名称を残していますが、実際にはTLSを利用しています。
2つめの表「【遵守項目】利用禁止暗号アルゴリズム一覧(2020年1月7日時点)」
上記で解説した、安全ではなくなった暗号化の方法を具体的に示しています。
秘匿したいデータを暗号化する際の手順を暗号アルゴリズムと呼びます。
TLSは、さまざまな複数の暗号技術を組み合わせています。それらのそれぞれの暗号技術が、一番左の列に書かれている「鍵交換」や「署名」といったものです。
こういった複数の暗号技術を組み合わせて、TLSという1つのプロトコルを作り上げています。
TLSが採用しているそれぞれの暗号技術において、解読方法や脆弱性が発見され、現在ではすでに安全とは言えない暗号アルゴリズムを一覧として記載しています。
ロリポップではこれらの安全ではなくなった暗号アルゴリズムを利用していません。
3つめの表「【推奨項目】利用推奨暗号アルゴリズム一覧」
2つめの表とは逆に、安全性が高いとされ、利用が推奨されている暗号アルゴリズムを記載しています。
4つめの表「【推奨項目】TLS1.2を利用する場合の優先順位」
繰り返しになりますが、TLSは、さまざまな複数の暗号技術を組み合わせています。表にある「鍵交換」、「署名」といった技術です。
それぞれの技術も、さらに複数の方法があります。そのため、どの鍵交換技術を利用するのか、どの署名技術を利用するのかなどの組み合わせによって、TLSで暗号化するためのアルゴリズムが複数あります。
こういった組み合わせのことを、暗号スイートと呼びます。
暗号スイート名欄に書かれている長い英語の文字列は、どの技術の組み合わせになっているのかを示しています。
たとえば表の1番目にある「TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256」という暗号スイート名は、それぞれ鍵交換が「ECDH」、認証が「ECDSA」、暗号化が「AES_128_GCM」、ハッシュ関数が「SHA256」を利用している組み合わせであることを示しています。
注意点
記事に書いてあることはロリポップのサーバーに設置してあるサイトと、そのサイトに訪問する方のクライアント(パソコンやスマートフォン)の間の通信の暗号化に関するものです。
ロリポップをご契約いただいているお客様のウェブサイトのデータに関するセキュリティについての内容ではないことにご注意ください。
サーバーに設置してあるサイトのセキュリティについては、別途WAF(ウェブアプリケーションファイアウォール)や海外アタックガードなどの対策を提供しています。また、IPAでも安全なウェブサイトの作り方として公開されていますので、サイト制作に興味のある方、個人情報を保持するような性質のサイトを運用されている方などはぜひ一度目を通してみてください。
まとめ
今回公開したページについての補足を説明いたしました。
インターネットが我々の生活にますます欠かせないものとなっている昨今、セキュリティの重要度も増す一方です。ロリポップは対策をしっかり行っていること、インターネットの世界でも現実世界と同じようにセキュリティが非常に大切であるということを知っていただきたく、今回の公開にいたりました。
ウェブ系のエンジニアの方などでなければ、なかなかインターネットのセキュリティについて学ぶ機会がないと思いますが、この記事をきっかけに少しでも興味を持っていただけましたら幸いです。