SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine Press

Webサイト管理者は、SSL証明書のハッシュアルゴリズムSHA-2への移行を急げ

 インターネット上で情報を暗号化して送受信するためのプロトコルであるSSL(Secure Sockets Layer)。このSSLを支える技術には、公開鍵暗号方式、共通鍵暗号方式、ハッシュアルゴリズムなどがある。このうちのハッシュアルゴリズムは、現行はSHA-1(Secure Hash Algorithm 1)というハッシュ関数が一般的に使われている。このSHA-1は、より強固なセキュリティ要件に対応するSHA-2への移行が、現在進められつつある。

マイクロソフトが2016年末にSHA-1の利用停止を正式発表

 インターネット上で情報を暗号化して送受信するためのプロトコルであるSSL(Secure Sockets Layer)。このSSLを支える技術には、公開鍵暗号方式、共通鍵暗号方式、ハッシュアルゴリズムなどがある。このうちのハッシュアルゴリズムは、現行はSHA-1(Secure Hash Algorithm 1)というハッシュ関数が一般的に使われている。このSHA-1は、より強固なセキュリティ要件に対応するSHA-2への移行が、現在進められつつある。

 米国政府としてはNIST(米国標準技術研究所)から、SHA-1については2013年末までに使用停止するよう勧告が出ている。一方、日本政府はNISC(内閣官房情報セキュリティセンター)指針として、それよりかなり長い2019年までに使用停止する方針が示されている。2014年となったいま、米国で使用停止が勧告されているにも関わらず、SHA-2への移行はまだあまり進んでいない。

 株式会社シマンテック SSL製品本部 SSLプロダクトマーケティング部 上席部長の安達徹也氏
株式会社シマンテック SSL製品本部
SSLプロダクトマーケティング部
上席部長 安達 徹也氏

 そんな中、マイクロソフト社がWindows OSにおけるSSLサーバー証明書の利用について、より安全性の高いSHA-2への移行を促すのと同時に、SHA-1の利用を2016年末までに停止することを発表した。世の中に普及しているWebブラウザとサーバーを提供するマイクロソフトがこのようなロードマップを示したことで、ハッシュアルゴリズムの移行を早急に考え対処すべき状況となったのだ。

 「暗号強度は、次の世代のものが求められています。けれど、ブラウザやサーバーが、まだすべてSHA-2には対応していないという状況がありました。そのため、SHA-2への移行は遅れている状況です。ここに来て、やっとSHA-2に対応するものが増えてきました」

 株式会社シマンテック SSL製品本部 SSLプロダクトマーケティング部 上席部長の安達徹也氏は、シマンテックにおいても、現在はすべての販売チャネルでSHA-2の発行を開始していると説明する。今後は、マイクロソフトのアナウンスに合わせる形で、SHA-1の発行を停止していく予定とのことだ。

 こういった業界の動きに合わせ、Webサイト管理者などはSHA-2の導入を順次進めていく必要がある。またこのハッシュアルゴリズムはSSLだけでなくAPIを利用してシステム間連携をする際などにも利用される。当然ながら、ブラウザのベンダーやブラウザ機能などをもつ組み込み機器でも利用されているので、それらの管理者や開発者も順次SHA-2への移行を行う必要がある。

 SSL証明書の利用は2016年末が期限だが、じつはそれほど長い時間が対応のためにあるわけではない。SSL証明書は有効期限が1年間、なのでSHA-1ベースのSSLの発行は期限の1年前となる2015年末までとなる。影響の大きいWebサーバーやロードバランサーなどについては、ベンダーが移行対応に関するロードマップを出す必要もあるだろう。

次のページ
問題は、Webサイト管理者が“期限が迫っていること”を認識していない実情

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

谷川 耕一(タニカワ コウイチ)

EnterpriseZine/DB Online チーフキュレーターかつてAI、エキスパートシステムが流行っていたころに、開発エンジニアとしてIT業界に。その後UNIXの専門雑誌の編集者を経て、外資系ソフトウェアベンダーの製品マーケティング、広告、広報などの業務を経験。現在はフリーランスのITジャーナリスト...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/5586 2014/02/07 16:20

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング