Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

ディズニーのTLS対応(PCI DSS)

 Disney.JPサイトでTLS1.1以下の対応について発表されていました。

www.disney.co.jp

このたび、インターネットで通信内容の保護に使用する暗号化方式「TLS1.0」および「TLS1.1 」において脆弱性が発見され、保護すべき通信内容の一部が漏えいする可能性があると報じられたことを受け、Disney.jpでは2018年6月20日(水)より「TLS1.0」および「TLS1.1 」の利用を停止しより安全な 「TLS 1.2 」へ移行いたします
そのため一部の古いブラウザや、ブラウザの設定によっては、サイトの一部が表示されなくなりますのでご注意ください。

リリース記事から引用

 

◆キタきつねの所感

このリリース内容は、日本のディズニーが『PCI DSSの期限にしっかり合わせてきましたね』と思うだけでなく、TLSバージョンサポートを1.2以上にする事による『可用性』影響を悩む他のECサイト(決済を伴うサイト)にも良い影響を与える発表になったなと思います。

 

詳しくは下記を参照頂ければと思いますが、この背景事情としては、

SSLやTLS1.0、1.1(の多く)は、安全性が懸念される暗号プロトコルとなり始めていると言われ、PCI DSS規定では、既存認定を受けている事業者も2018年6月末までしかSSL/TLS1.0, 1.1を使ってはいけない事となっています。(その次の認定審査を落ちる可能性があります)

 

現在の規定は、

  • PCI DSSv3.2 付録A2 (初期の TLS を使用している事業体向けの PCI DSS 追加要件)

すべてのサービスプロバイダは2016年6月30日までに安全なサービスを提供しなければならない。

2018年6月30日以降、すべての事業体はセキュリティ制御としてSSLおよび初期のTLSの使用を停止し、安全なバージョンのプロトコルを使用する必要がある。(特定のPOS POI端末のための容認は、以下の最後の箇条書きで説明されます)

2018年6月30日より前までは、SSLおよび/または初期のTLSを使用する既存の実装は正式なリスク低減策と移行計画を定めている必要がある。

SSL および初期の TLS の既知の悪影響を受けないことが検証できるPOS POI 端末(およびSSL/TLSの接続終端地点)は、2018年6月30日以降もこれらをセキュリティ制御として使用し続けることができる。

POS端末など一部の例外を除き、2018年6月末までにTLS1.2以降に切り替える事が推奨されています。(※TLS1.1の実装によっては安全なプロトコルと見なされる場合もあります)

 

早く安全なプロトコルに変えてしまえばいいのではないか?と思う方も多いかも知れませんが、PCI DSSv3.1で2016年6月末までに変更しろ!というルールになっていた際にも、世界中で大問題となり、v3.2で2018年6月に延期となりました。

その原因は、日本市場では例えばガラケーがTLS1.2以降をサポートしてない(事が多い)点であったり、古い端末やブラウザの機能制限であったりします。安全でないので接続できない、というセキュリティ上では正しいであろう事も、自社のユーザに対してサービスレベルが落ちる事を意味する場合も多いので、ギリギリまで対応を悩まれる企業が多いのだと思います。

そんな中で、ある意味予定通りではありますが、他への影響力が大きいディズニーがTLS1.2以降へ切り替えると発表した今回のリリース内容は、多くの日本企業を勇気付ける(社内を説得する良い言い訳になる)のではないでしょうか。

 

7月1日はある意味ガラケーの終わりを象徴する日になる、かも知れませんね。

 

遊園地のイラスト「お城・ジェットコースター・観覧車」

 

更新履歴

  • 2018年4月8日PM(予約投稿)