NSA、TLSプロトコルの更新を連邦機関のシステム管理責任者に勧告–オランダでも

今回は「NSA、TLSプロトコルの更新を連邦機関のシステム管理責任者に勧告–オランダでも」についてご紹介します。

関連ワード（セキュリティ等）についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　米国家安全保障局（NSA）は1月に入って、古くなったTLSプロトコルの利用停止を連邦機関のシステム管理責任者などに促すセキュリティ勧告を出している。

　「TLS 1.2またはTLS 1.3のみを使用し、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1は使わないようNSAは勧告する」とされている。

　また、「旧式の暗号を使用すると、実際は違うにもかかわらず機密データが保護されているように見えることから、誤った安心感を与える」と書かれている。

　TLS 1.2/1.3を導入している場合についても、弱い暗号化パラメーターと暗号スイートで構成しないよう、NSAは警告している。

　「TLS 1.2で特に弱い暗号化アルゴリズムとされているのは、NULL（暗号化なし）、RC2、RC4、DES、IDEA、TDES/3DESであり、これらのアルゴリズムが使われている暗号スイートは用いるべきではない」としている。

　さらに「TLS 1.3ではこれらの暗号スイートが除外されているが、TLS 1.3とTLS 1.2の両方をサポートする実装は、旧式の暗号スイートが使われてないか確認するべきだ」と書いている。

　内部ネットワークで旧式のTLSプロトコル構成がまだ使われていないか、システム管理責任者がシステムを確認する際に役立つツールのリストが、NSAのGitHubプロフィールで公開されている。

　NSAの5日の勧告と同じ内容の文書が現地時間19日、オランダのNSAに当たる国家サイバーセキュリティセンター（NCSC）から出された。

　オランダのNCSCもこの警告（PDF）で、「将来にわたって有効」な構成にする取り組みの一環としてTLS 1.3に移行するよう、政府機関と民間企業に勧めている。

　この両国の警告に先立ち、2020年の中ごろには、主要ウェブブラウザーがセキュリティ上の理由からTLS 1.0/1.1のサポートを停止した。セキュリティ企業であるNetcraftの2020年3月に公表した報告では、HTTPSのトラフィックの暗号化にまだTLS 1.0/1.1を使っているウェブサイトが約85万あったが、この数字はその後、ゆっくりと減少している。

　NSAは勧告で、TLSは新しい攻撃が絶えず見つかっており、「常に悪意ある行為者の能力の上手を行き、重要情報を保護する」には最新のTLSプロトコルを使用すべきだと警告している。

セキュリティとは – IT用語辞典 e-Words

セキュリティ【security】とは、安全、防犯、保安、防衛、防護、治安、安心、安全保障などの意味を持つ英単語。盗難や破壊など人為的な攻撃からの保護を意味し、事故や災害など人の意志によらない危険や脅威からの安全を表す “safety” (セーフティ)とは区別される。

https://e-words.jp/w/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3.html

セキュリティ – Wikipedia

セキュリティ（英: security ）は、人、住居、地域社会、国家、組織、資産などを対象とした、害からの保護。. 一般には保安のことであり、犯罪や事故などを防止するための警備全般を指す。. コンピュータ関連の文脈では、特にコンピュータセキュリティを単にセキュリティと呼ぶ場合がある。. 金融業界では、出資を募る団体を損害から保護 …

https://ja.wikipedia.org/wiki/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3