企業における TLS 1.3 の導入

昨年 8 月にIETFによって新しいトランスポート層セキュリティ (TLS) 1.3 仕様が公開され、多くの組織がこの新しい標準の採用計画を検討しています。 F5 は、企業が全体的に暗号化の使用の増加にどのように適応しているかをより深く理解するために、Enterprise Management Associates と共同で調査プロジェクトを委託しました。 一部の業界団体は、TLS 1.3 を使用してトラフィックを復号化して検査し、トラブルシューティングやマルウェアの可能性を調べる機能について深刻な懸念を表明していますが、調査の回答者のかなりの割合が、すでに TLS 1.3 の有効化を進めているか、近いうちに有効化する予定であることは朗報です。 もう 1 つの良い兆候は、調査の回答者の大多数が技術的なレベルで TLS 1.3 に精通していると回答したことです。

新しい標準の迅速な導入計画を推進した要因は複数あります。 主要な Web サーバーおよびブラウザー ベンダーがすでに自社製品に TLS 1.3 を実装していることがその 1 つです。 もう 1 つは、TLS 1.3 の機能強化によってプライバシーとエンドツーエンドのデータ セキュリティが向上するという認識されているメリットです。 TLS のような暗号化プロトコルは、攻撃者がデータを盗聴したり改ざんしたりするのを防ぐために存在します。 しかし、applicationのセキュリティ監視に関する懸念が注意を促しています。

過去数年間で、インターネット上での暗号化の使用は大幅に増加しました。 F5 Labs 2017 TLS テレメトリ レポートによると、現在、Web ページの 81% が HTTPS 経由で読み込まれています。 データ センターと企業ネットワークでの暗号化の使用は過去 18 か月間で最も増加しましたが、企業は今後 18 か月間で社内で開発されたapplicationsと Web サービスに注目するようになります。

TLS 1.3 仕様の影響を考慮すると、回答者の大多数が、組織内での TLS 1.3 の実装に関して運用面とセキュリティ面の両方で懸念を表明しました。 調査では、回答者全体の 56% が運用上の懸念または重大な懸念を表明し、61% がセキュリティ上の懸念または重大な懸念を表明していることがわかりました。

セキュリティに関する最大の懸念は、applicationセキュリティとデータ センターの可視性であり、回答者の 57% が、applicationセキュリティを監視できないことが最大の懸念であると回答しました。   

彼らは何を恐れているのでしょうか?

正当なトラフィックに隠れた悪意のある動作を見逃す。 全く心配していないと答えたのはわずか6％でした。

そうした懸念にもかかわらず、後戻りはできません。 ポリシーの観点から見ると、企業はデータ保護のためにトランスポート暗号化の使用を明確に義務付けており、TLS が選択されるプロトコルです。

組織が TLS 1.3 の導入をどのように処理するのか、また戦略、ポリシー、実践、懸念事項を理解するには、こちらから企業における TLS 1.3 の採用に関する完全なレポートにアクセスしてください。