Microsoft セキュリティ アドバイザリ 3042058

既定の暗号スイートの優先順位に更新する

公開日: 2015 年 5 月 12 日 |更新日: 2015 年 10 月 13 日

バージョン: 1.1

概要

2015 年 5 月 12 日、Microsoft は、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1、および Windows Server 2012 R2 で暗号化暗号スイートの優先順位付けに対する更新プログラムの提供を発表しました。 この更新により、影響を受けるシステムの既定の一覧に暗号スイートが追加され、暗号スイートの優先順位が改善されました。 この機能強化は、Windows オペレーティング システムでの暗号化の有効性を強化するための継続的な取り組みに沿って行われました。

Microsoft は当初、Microsoft ダウンロード センター (DLC) を介して更新プログラムを提供しました。これは、お客様が新しい機能をテストしてから環境の既定の部分にする機会を与えるためにのみでした。

このアドバイザリの 2015 年 10 月 13 日の改訂により、Microsoft は DLC オプションに加えて、3042058更新プログラムも Microsoft Update (MU) と Windows Server Update Services (WSUS) を介して利用できるようになったことを発表しています。

詳細と展開のガイダンスについては、 Microsoft サポート技術情報の記事の3042058を参照してください。

影響を受けるソフトウェア

|オペレーティング システム| |------------| |Windows 7 for 32 ビット システム Service Pack 1| |Windows 7 for x64 ベースのシステム Service Pack 1| |Windows Server 2008 R2 for x64 ベースのシステム Service Pack 1| |Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1| |32 ビット システム向け Windows 8| |Windows 8 for x64 ベースのシステム| |Windows Server 2012| |32 ビット システムのWindows 8.1| |x64 ベースシステムのWindows 8.1| |Windows Server 2012 R2| |Server Core インストール オプション| |Windows Server 2008 R2 for x64 ベースのシステム Service Pack 1 (Server Core インストール)| |Windows Server 2012 (Server Core のインストール)| |Windows Server 2012 R2 (Server Core のインストール)|

アドバイザリに関する FAQ

アドバイザリの範囲は何ですか? 
このアドバイザリの目的は、Windows でのセキュリティ制御の有効性を強化するための Microsoft の継続的な取り組みの一部である利用可能な更新プログラムをお客様に通知することです。

更新プログラムは何を行いますか?
この更新プログラムは、影響を受けるすべてのオペレーティング システムの既定の一覧に次の暗号スイートを追加し、暗号スイートの優先順位の改善を含みます。

更新プログラムによって追加された暗号スイート
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256

これらの暗号スイートは何をしますか?
暗号スイートは、Perfect Forward Secrecy (PFS) のサポートを追加します。 強化されたセキュリティを提供する一方で、PFS は、コンピューティング要件が高いため、一部のシナリオでシステム パフォーマンスに顕著な影響を与える可能性があります。 詳細については、「 Microsoft サポート技術情報の記事 3042058」を参照してください。

この更新プログラムに関して、どのような内部テストを行う必要がありますか?
Schannel を使用して SSL/TLS 接続を実装またはネゴシエートするインターネット エクスプローラー、IIS、SQL Server、Exchange Serverなどのアプリケーションは、徹底的にテストする必要があります。 特に、多数のユーザーをホストする Web サーバーやデータベース サーバー、多くのセキュリティで保護された接続を処理して内部サーバーに転送するエッジ サーバーなど、多数の同時接続が行われるシナリオ。 既存のすべての SSL/TLS アプリケーションは想定どおりに動作する必要があります。 新しい暗号スイートの方が安全ですが、リソースを集中的に消費する可能性が高い点に注意してください。 そのため、お客様は、SSL/TLS 接続の数が増加したときに (サーバーとクライアントの両方のシナリオで) リソース消費量の増加をテストする必要があります。

その他の情報

フィードバック

サポート

  • 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、「 Microsoft ヘルプとサポート」を参照してください。
  • 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、「 国際サポート」を参照してください。
  • Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責情報

本アドバイザリで提供される情報は、いかなる種類の保証もなく「現状有姿」で提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を否認します。 Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接、間接、付随的、派生的、事業利益の損失、特別な損害を含むいかなる損害に対しても、Microsoft Corporation またはそのサプライヤーは一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限が適用されない場合があります。

リビジョン

  • V1.0 (2015 年 5 月 12 日): アドバイザリが公開されました。
  • V1.1 (2015 年 10 月 13 日): 2015 年 5 月 12 日に Microsoft ダウンロード センター (DLC) のみを介して最初にリリースされた既定の暗号スイートの優先度設定更新プログラム (3042058) が、Microsoft Update (MU) および Windows Server Update Services (WSUS) からも利用できるようになったことをお知らせするために、アドバイザリが改訂されました。 これは、会場の変更のみを提供する更新プログラムです。 更新ファイルに変更はありません。 更新プログラムを既に正常にインストールしているお客様は、何も行う必要はありません。

Page generated 2015-10-07 11:07-07:00。