V9: 通信

管理目標

検証対象のアプリケーションが以下の上位要件を満たすことを確認します。

  • コンテンツの機密性に関わらず、TLS または強力な暗号化を必要としています。

  • 以下のような最新のガイダンスに従っています。

    • 構成アドバイス

    • 優先アルゴリズムと暗号化方式

  • 最後の手段を除いて、脆弱または近いうちに廃止予定のアルゴリズムおよび暗号化方式を避けています。

  • 非推奨または既知のセキュアでないアルゴリズムおよび暗号化方式を無効化しています。

これらの要件を満たすために:

  • セキュアな TLS 構成に関する業界の推奨事項は、(多くの場合、既存のアルゴリズムと暗号化方式の壊滅的な破壊が原因で) 頻繁に変更されるため、最新の状態に保ちます。

  • 最新バージョンの TLS 構成レビューツールを使用して、優先順位およびアルゴリズム選択を設定します。

  • 構成を定期的にチェックし、セキュアな通信が常に存在し有効であることを確認します。

V9.1 クライアント通信セキュリティ

すべてのクライアントメッセージは TLS 1.2 以降を使用して、暗号化されたネットワーク上で送信されるようにします。 最新のツールを使用して、クライアント構成を定期的にレビューします。

#
説明
L1
L2
L3
CWE

9.1.1

TLS がすべてのクライアント接続に使用されており、セキュアではない通信や暗号化されていない通信にフォールバックしない。 (C8)

319

9.1.2

最新の TLS テストツールを使用して、強力な暗号スイートのみが有効であり、最も強力な暗号スイートが優先的に設定されている。

326

9.1.3

TLS 1.2 や TLS 1.3 など、最新の推奨バージョンの TLS プロトコルのみが有効である。最新バージョンの TLS プロトコルが優先オプションである。

326

V9.2 サーバ通信セキュリティ

サーバ通信は HTTP だけではありません。監視システム、管理ツール、リモートアクセスと ssh 、ミドルウェア、データベース、メインフレーム、パートナー、既存のソースシステムなど、他のシステムとのセキュアな接続を確立する必要があります。「外側は堅牢だが、内側は傍受しやすい」ことを防ぐために、これらはすべて暗号化する必要があります。

#
説明
L1
L2
L3
CWE

9.2.1

サーバとの接続には信頼できる TLS 証明書が使用されている。内部生成証明書や自己署名証明書が使用されている場合、サーバは特定の内部 CA および特定の自己署名証明書のみを信頼するように構成する必要がある。それ以外はすべて拒否される。

295

9.2.2

管理ポート、監視、認証、API、Web サービス呼び出し、データベース、クラウド、サーバレス、メインフレーム、外部、パートナー接続を含む、すべてのインバウンド接続およびアウトバウンド接続に、TLS などの暗号化通信が使用されている。サーバはセキュアではないプロトコルや暗号化されていないプロトコルにフォールバックしてはいけない。

319

9.2.3

機密情報や機密機能を含む外部システムへのすべての暗号化接続が認証されている。

287

9.2.4

オンライン証明書ステータスプロトコル (OSCP) ステープルなどの適切な証明書失効が有効かつ構成されている。

299

9.2.5

バックエンド TLS 接続失敗がログに記録されている。

544

参考情報

詳しくは以下の情報を参照してください。

  • OWASP – TLS Cheat Sheet

  • OWASP - Pinning Guide

  • 「TLS の承認されたモード」に関する注意:

    • これまで ASVS は米国規格 FIPS 140-2 を参照していましたが、グローバル規格として US 規格の適用は困難、矛盾、混乱の可能性があります。

    • セクション 9.1 に準拠するより良い方法は Mozilla's Server Side TLS既知の良い構成を生成する などのガイドを見直し、望ましいセキュリティレベルを得るために、既知で最新の TLS 評価ツールを使用することです。

PreviousV8: データ保護NextV10: 悪意あるコード

Last updated

Was this helpful?