マイクロソフト セキュリティ アドバイザリ 3042058

既定の暗号スイートの優先度の設定の更新プログラム

公開日:2015 年 5 月 13 日 | 最終更新日: 2015 年 10 月 14 日

バージョン: 1.1

マイクロソフトは、2015 年 5 月 13 日に Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1、および Windows Server 2012 R2 の暗号スイート優先度の設定の更新プログラムが利用可能になったことをお知らせしました。この更新プログラムは、影響を受けるシステムの既定の一覧に暗号スイートを追加し、暗号スイートの優先度の設定を改善しました。この機能強化は、Windows オペレーティング システムでの暗号の有効性を改善するための継続的な取り組みの一環です。

マイクロソフトは当初、お客様が新機能を自社環境の既定の部分に組み込む前にテストする機会が得られるように、この更新プログラムを Microsoft ダウンロード センター (DLC) からのみ提供しました。

2015 年 10 月 14 日のこのセキュリティ情報の改訂により、マイクロソフトは、DLC オプションに加えて、更新プログラム 3042058 が Microsoft Update (MU) および Windows Server Update Services (WSUS) からも入手可能になったことを発表します。

詳細および展開の手引きについては、マイクロソフト サポート技術情報 3042058 をご覧ください。

オペレーティング システム

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

Windows 8 for 32-bit Systems

Windows 8 for x64-based Systems

Windows Server 2012

Windows 8.1 for 32-bit Systems

Windows 8.1 for x64-based Systems

Windows Server 2012 R2

Server Core インストール オプション

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)

Windows Server 2012 (Server Core インストール)

Windows Server 2012 R2 (Server Core インストール)

このアドバイザリの目的は何ですか?
このアドバイザリの目的は、Windows でのセキュリティ制御の有効性を改善するための継続的な取り組みの一環として更新プログラムが使用可能になったことをお客様にお知らせすることです。

この更新プログラムはどのように問題を修正しますか?
この更新プログラムは、影響を受けるシステムの既定の一覧に以下の暗号スイートを追加し、暗号スイートの優先度の設定を改善します。

更新プログラムによって追加される暗号スイート

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_GCM_SHA256

これらの暗号スイートの機能を教えてください。
これらの暗号スイートは、PFS (Perfect Forward Secrecy) のサポートを追加します。PFS は、セキュリティを強化しますが、コンピューティング要件が厳しいために、一部のシナリオでシステムのパフォーマンスに大きく影響します。詳細については、マイクロソフト サポート技術情報 3042058 を参照してください。

この更新プログラムに関してどのような内部テストを実行する必要がありますか? 
Internet Explorer、IIS、SQL Server、Exchange Server などの Schannel を使用して SSL/TLS 接続を実装またはネゴシエートするアプリケーションを十分にテストする必要があります。特に、多くのユーザーをホストする Web サーバーまたはデータベース サーバーや、多くのセキュリティで保護された接続を処理してそれらを内部サーバーに転送するエッジ サーバーなどの、多数の同時接続を行うシナリオをテストする必要があります。すべての既存の SSL/TLS アプリケーションが正常に動作する必要があります。新しい暗号スイートは、セキュリティが強化されていますが、リソースを集中的に使用する傾向があります。そのため、お客様は、(サーバーとクライアントの両方のシナリオで) SSL/TLS 接続の数が増えるときのリソース消費の増加をテストする必要があります。

フィードバック

サポート

  • セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • Microsoft TechNet セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation およびその関連会社は、本文書に含まれている情報の使用および使用結果につき、正確性、真実性など、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社およびこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2015/5/13): アドバイザリを公開しました。
  • V1.1 (2015/10/14): このアドバイザリを更新し、当初は 2015 年 5 月 13 日に Microsoft ダウンロード センター (DLC) からのみリリースされた既定の暗号スイートの優先度の設定の更新プログラム (3042058) が、Microsoft Update (MU) および Windows Server Update Services (WSUS) からも入手可能になったことをお知らせしました。今回は更新プログラムの提供場所のみの変更です。更新プログラム ファイルへの変更はありません。この更新プログラムを適用済みのお客様は、その他の対策を行う必要はありません。

Page generated 2015-10-07 11:07:00-07:00.
表示: