Microsoft セキュリティ アドバイザリ 3042058

  • [アーティクル]

既定の暗号スイートの優先順位に更新する

公開日: 2015 年 5 月 12 日 |更新日: 2015 年 10 月 13 日

バージョン: 1.1

概要

2015 年 5 月 12 日、Microsoft は、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1、および Windows Server 2012 R2 で暗号化暗号スイートの優先順位付けに対する更新プログラムの提供を発表しました。 この更新により、影響を受けるシステムの既定の一覧に追加の暗号スイートが追加され、暗号スイートの優先順位が向上しました。 この機能強化は、Windows オペレーティング システムでの暗号化の有効性を強化するための継続的な取り組みに合わせて行われました。

Microsoft は当初、Microsoft ダウンロード センター (DLC) を介して更新プログラムを提供しました。これは、お客様が新しい機能をテストする機会を与えるためにのみ、環境の既定の一部にしました。

このアドバイザリの 2015 年 10 月 13 日の改訂により、Microsoft は DLC オプションに加えて、3042058更新プログラムも Microsoft Update (MU) と Windows Server Update Services (WSUS) を介して利用できるようになったことを発表しています。

詳細と展開のガイダンスについては、Microsoft サポート技術情報の記事3042058を参照してください

影響を受けるソフトウェア

|オペレーティング システム| |------------| |Windows 7 for 32 ビット システム Service Pack 1| |Windows 7 for x64 ベースシステム Service Pack 1| |x64 ベース システム Service Pack 1 用 Windows Server 2008 R2 | |Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1| |32 ビット システム向け Windows 8| |x64 ベース システム用 Windows 8| |Windows Server 2012| |Windows 8.1 for 32 ビット システム| |x64 ベース システム用 Windows 8.1| |Windows Server 2012 R2| |Server Core インストール オプション | |x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 (Server Core インストール)| |Windows Server 2012 (Server Core のインストール)| |Windows Server 2012 R2 (Server Core のインストール)|

アドバイザリに関する FAQ

アドバイザリの範囲は何ですか? 
このアドバイザリの目的は、Windows でのセキュリティ制御の有効性を強化するための Microsoft の継続的な取り組みの一環として、利用可能な更新プログラムをお客様に通知することです。

更新プログラムは何を行いますか?
この更新プログラムは、影響を受けるすべてのオペレーティング システムの既定の一覧に次の暗号スイートを追加し、暗号スイートの優先順位の改善を含みます。

更新プログラムによって追加された暗号スイート
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256

これらの暗号スイートは何をしますか?
暗号スイートは、Perfect Forward Secrecy (PFS) のサポートを追加します。 セキュリティが強化されている一方で、PFS は、コンピューティング要件が高いため、一部のシナリオでシステム パフォーマンスに顕著な影響を与える可能性があります。 詳細については、マイクロソフト サポート技術情報の記事3042058を参照してください

この更新プログラムに関して、どのような内部テストを行う必要がありますか?
Schannel を使用して SSL/TLS 接続を実装またはネゴシエートするインターネット エクスプローラー、IIS、SQL Server、Exchange Server などのアプリケーションは、徹底的にテストする必要があります。 特に、多数のユーザーをホストする Web サーバーやデータベース サーバー、多くのセキュリティで保護された接続を処理して内部サーバーに転送するエッジ サーバーなど、多数の同時接続が行われるシナリオです。 既存のすべての SSL/TLS アプリケーションは想定どおりに動作する必要があります。 新しい暗号スイートの方が安全ですが、リソースを集中的に消費する可能性が高い点に注意してください。 そのため、SSL/TLS 接続の数が増えたとき (サーバーとクライアントの両方のシナリオで) リソース使用量の増加をテストする必要があります。

その他の情報

フィードバック

  • Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。

サポート

  • 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポート受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください
  • 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
  • Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責情報

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン

  • V1.0 (2015 年 5 月 12 日): アドバイザリが公開されました。
  • V1.1 (2015 年 10 月 13 日): 2015 年 5 月 12 日に Microsoft ダウンロード センター (DLC) のみを介してリリースされた既定の暗号スイートの優先順位付け更新プログラム (3042058) が、Microsoft Update (MU) および Windows Server Update Services (WSUS) 経由でも利用できるようになったことをお知らせするために改訂されました。 これは、会場の変更のみを提供する更新プログラムです。 更新ファイルに変更はありませんでした。 更新プログラムを既に正常にインストールしているお客様は、何も行う必要はありません。

Page generated 2015-10-07 11:07-07:00.