V9: 通信

管理目標

検証対象のアプリケーションが以下の上位要件を満たすことを確認します。

• コンテンツの機密性に関わらず、TLS または強力な暗号化を必要としています。

• 以下のような最新のガイダンスに従っています。

  • 構成アドバイス

  • 優先アルゴリズムと暗号化方式

• 最後の手段を除いて、脆弱または近いうちに廃止予定のアルゴリズムおよび暗号化方式を避けています。

• 非推奨または既知のセキュアでないアルゴリズムおよび暗号化方式を無効化しています。

これらの要件を満たすために:

• セキュアな TLS 構成に関する業界の推奨事項は、(多くの場合、既存のアルゴリズムと暗号化方式の壊滅的な破壊が原因で) 頻繁に変更されるため、最新の状態に保ちます。

• 最新バージョンの TLS 構成レビューツールを使用して、優先順位およびアルゴリズム選択を設定します。

• 構成を定期的にチェックし、セキュアな通信が常に存在し有効であることを確認します。

V9.1 外部向けサービスとの HTTPS 通信

アプリケーションが公開する外部向けサービスに対するすべての HTTP トラフィックが、公的に信頼できる証明書により暗号化されて送信されることを確認します。

#	説明	L1	L2	L3	CWE
9.1.1	[修正] TLS がクライアントと外部向けの HTTP ベースのサービス間のすべての接続に使用されており、セキュアではない通信や暗号化されていない通信にフォールバックしない。	✓	✓	✓	319
9.1.2	[9.4.1 へ移動]
9.1.3	[9.4.2 へ移動]
9.1.4	[追加] 外部向けサービスが公的に信頼できる TLS 証明書を使用している。	✓	✓	✓	295

V9.2 一般的なサービス間通信セキュリティ

サーバ通信は HTTP だけではありません。他のシステムとの接続も安全でなければなりません。

#	説明	L1	L2	L3	CWE
9.2.1	[9.3.2 へ移動]
9.2.2	[修正] 監視システム、管理ツール、リモートアクセス、SSH、ミドルウェア、データベース、メインフレーム、パートナーシステム、外部 API など、アプリケーションとのすべてのインバウンドおよびアウトバウンドの接続に、TLS などの暗号化プロトコルが使用されている。サーバは安全でないプロトコルや暗号化されていないプロトコルにフォールバックしてはいけない。		✓	✓	319
9.2.3	[削除, スコープ外]
9.2.4	[9.4.3 へ移動]
9.2.5	[7.2.6 へ移動]

V9.3 内部サービス間の HTTPS 通信

内部向けサービス間の HTTP トラフィックも暗号化されるべきであり、理想的には TLS を使用します。

#	説明	L1	L2	L3	CWE
9.3.1	[追加] アプリケーション内の HTTP ベースの内部サービス間のすべての接続に TLS または別の適切なトランスポート暗号化メカニズムが使用されており、安全でない通信や暗号化されていない通信にフォールバックしていない。		✓	✓	319
9.3.2	[修正, 9.2.1 から移動] 内部サービス間の TLS 接続には信頼できる証明書が使用されている。内部生成証明書や自己署名証明書が使用されている場合、受け側のサービスは特定の内部 CA および特定の自己署名証明書のみを信頼するように構成する必要がある。それ以外はすべて拒否される。		✓	✓	295
9.3.3	[追加] システム内で内部的に通信するサービスや「サービス内通信 (intra-service communications)」で相互 TLS (mutual TLS, mTLS) が使用され、ネットワーク接続の両端にいるすべての関係者が本人であることを保証している。			✓	295

V9.4 一般的な TLS セキュリティガイダンス

安全な TLS 構成と最新のツールを使用して構成を定期的に確認します。ワイルドカード TLS 証明書の使用は本質的に安全ではありませんが、所有するすべての環境 (実稼働、ステージング、開発、テストなど) にわたって展開される証明書の侵害は、それを使用するアプリケーションのセキュリティ態勢の侵害につながる可能性があります。可能であれば、異なる環境での個別の TLS 証明書の適切な保護、管理、使用を採用する必要があります。

#	説明	L1	L2	L3	CWE
9.4.1	[修正, 9.1.2 から移動] 最新の推奨暗号スイートのみが有効であり、最も強力な暗号スイートが優先的に設定されている。	✓	✓	✓	326
9.4.2	[9.1.3 から移動] TLS 1.2 や TLS 1.3 など、最新の推奨バージョンの TLS プロトコルのみが有効である。最新バージョンの TLS プロトコルが優先オプションである。	✓	✓	✓	326
9.4.3	[9.2.4 から移動] オンライン証明書ステータスプロトコル (OSCP) ステープルなどの適切な証明書失効が有効かつ構成されている。		✓	✓	299
9.4.4	[追加] TLS ワイルドカード証明書を使用する場合、実稼働ではない環境からのワイルドカード証明書は実稼働環境に対して有効でない。	✓	✓	✓	1008

参考情報

詳しくは以下の情報を参照してください。

• OWASP – TLS Cheat Sheet

• セクション 9.4 への準拠を達成する理想的な方法は Mozilla's Server Side TLS や 既知の良い構成を生成する などのガイドを見直し、望ましいセキュリティレベルを得るために、既知で最新の TLS 評価ツールを使用することです。