DuraSite-Edgeでは、エンドユーザーとDuraSite-Edge間のHTTPS通信のセキュリティを確保するために、SSL/TLSプロトコルを使用しています。本セクションでは、利用可能なSSL/TLSバージョンと、その設定変更について説明します。
機能概要 #
安全な通信を提供するため、DuraSite-Edgeで標準で利用可能なSSL/TLSバージョンは、セキュリティレベルが高い比較的新しいバージョンに限定されています。古いバージョンのプロトコル(例: TLS 1.0, TLS 1.1, SSLv3 など)は、既知の脆弱性が存在するため、デフォルトで無効化されています。
【デフォルトで有効/無効なバージョン】
| 項目 | 内容 |
|---|---|
| 有効なSSL/TLS | TLS1.2 TLS1.3 |
| 無効なSSL/TLS | TLS1.0 TLS1.1 SSLv3 |
お客様の特定のセキュリティポリシーや接続クライアントの要件に基づき、標準で有効となっているTLSバージョンの中から、利用を許可するバージョンをさらに限定する(例: TLS 1.2のみを許可する、TLS 1.3を無効化するなど)といったカスタマイズが可能です。
設定方法 #
利用可能な暗号スイートのカスタマイズは、お客様ご自身でDuraSite-Edgeの管理画面から行うことができます。
- 暗号スイートの有効化/無効化:FQDN設定画面にて、有効/無効にしたい暗号スイートを選択します。
- 設定の保存:設定内容を確認し、「登録」ボタンをクリックして設定を有効にします。設定の反映には時間がかかる場合があります。
主なユースケース #
- デフォルト設定の利用(推奨):
- 目的: 最新の主要ブラウザやオペレーティングシステムとの互換性を最大限確保しつつ、業界で推奨される高いセキュリティレベル(通常 TLS 1.2以上)を維持したい。
- 対応: 特別な要件がない限り、通常はデフォルト設定のままご利用いただくことを推奨します。弊社にて安全かつ互換性の高いと判断されたバージョンが有効になっています。
- 特定のセキュリティ要件の充足:
- 目的: PCI DSSのような特定の業界規制や、お客様社内で定められた厳格な情報セキュリティポリシーにより、利用するTLSプロトコルのバージョンを特定のバージョン(例: TLS 1.2のみ、あるいはTLS 1.3のみ)に制限することが必須となる場合。
- 対応: 担当営業に相談し、ポリシーに準拠するために必要なバージョンのみを許可する設定変更を弊社に依頼します。
- 特定クライアントとの互換性問題への対応:
- 目的: お客様のサービスに接続してくるクライアント環境(例: 古いOS上で動作するアプリケーション、特定のライブラリを使用するシステム、一部のIoTデバイスなど)や、お客様の環境内の他の連携システムが、TLS 1.3などの比較的新しいバージョンに未対応であることが原因で、接続障害が発生している場合。
- 対応: 問題となっているバージョン(例: TLS 1.3)を無効化し、接続が必要なクライアント環境が対応しているバージョン(例: TLS 1.2のみ)に限定する設定変更を弊社に依頼します。