D1-1 常識変化に向き合おう

認証にまつわるセキュリティの新常識

講演者
勝原 達也(NRIセキュアテクノロジーズ株式会社)

「認証(Authentication)」という言葉はとても一般的に利用されています。 ほぼ毎日システムに対して何らかの形で認証をしていることでしょう。 馴染み深い概念ゆえに、 理解をしていると思っていても気付かないうちに人それぞれ異なった解釈をしていることもあります。 昨年、 システムにおける電子認証の実質的な標準とも言える米国NIST SP800-63が正式に改定され、 その過程ではさまざまな議論が沸き起こりました。 本セッションでは「認証」をとりまくパラダイム・シフトに加え、 バックグラウンドにある「デジタルアイデンティティ」をとりまく新潮流について紹介します。

TLS1.3時代の新常識

講演者
大津 繁樹(ヤフー株式会社)

世界的に常時HTTPS化が進んでいます。 すべてのリソースをHTTPSで提供するためには、 長期的に安全なセキュリティプロトコルが必要です。 この目的で仕様化が始まったTLS1.3は、 2018年8月にRFC8446として発行されました。 TLS1.3では、 過去の技術負債を一掃し安全性を高めただけでなく、 接続の高速化も図られています。

既に主要ブラウザや大手サービスで、 TLS1.3の導入が進められています。 TLS1.3をサポートしたOpenSSL-1.1.1も、 9月にリリースされました。 これからOSSを中心として、 HTTPSサーバや関連ツールへTLS1.3の環境が整うでしょう。 これまでHTTPSサーバに求められてきた常識が、 TLS1.3でどう変わっていくのか、 その違いを知ればTLS1.3時代に備えることができます。

本講演では、常時HTTPS化が必要になった技術的背景から、 TLSプロトコルの基本的な仕組みを説明します。 そしてTLS1.3がどういうもので、 どう使っていけばいいのか。 詳しく解説します。

TLSとWebブラウザの表示のいまとこれから～EVの表示はどうなるのか～

講演者
奥田 哲矢(日本電信電話 NTTセキュアプラットフォーム研究所)

Webサイトの常時SSL化が進んでいる中で、 Google Chrome は、 SSL/TLSに関する警告表示等のユーザーインタフェースの変更を積極的に進めています。 その多くは、 Chromeのボランティアユーザーによるユーザートライアルを経て、 変更方針が国際会議で発表され、 Chromeにディプロイされる流れで進行しています。 本講演では、 Googleを含むブラウザベンダーの動向や国際会議の動向に従って、 SSL/TLSに関するWebブラウザの表示がどのように変化しているかを解説します。

特に、2018年に入って、 一部ブラウザにおいてEV証明書の社名の表示が削除または変更され始めている事が話題になっています。 これは、 Webサイト管理者や証明書ベンダーの利害得失に関わる上に、 今後のユーザーのブラウザへの向き合い方に、 大きな影響を及ぼす取り組みであると言えます。 例えば、EV証明書の社名表示が無くなった場合、 ユーザーにとってはURLやドメイン名のみがWebサイトの信頼性の判断材料となります。 しかし、正しいドメイン名と誤認してしまうようなドメイン名が悪用されている既知の問題があり、 URLやドメイン名のみを元にWebサイトの信頼性を判断する仕組みは、 一定の危うさを抱えていると言えます。 これらの問題について現状と今後を読み解いていきます。

知っておくべきIPv6とセキュリティの話

講演者
中川 あきら(日本インターネットエクスチェンジ株式会社(JPIX))

近年、アメリカをはじめ、 国内においても多くのインターネット利用者が知ぬうちにIPv6を使っている事実を受け、 昨年までは独立していたIPv6セキュリティを今年は通常のプログラムに含めることにしました。

本プログラムにおいては、 IPv6のIPv4と異なる部分の解説やセキュリティ面で考慮するべきポイントをいくつか紹介します。 さらに、IPv6の普及と並行して世界で進むIPv4アドレス共有がもたらすIPv4についても触れます。 例えば、

• グローバルアドレスが払い出されるIPv6の端末はNATで守られないので「IPv6は危険」、コレ本当？
• ISP等によりIPv4アドレス共有が導入されると送信元の特定が難しくなるが、どうなる？

本プログラムを通して、 これまでIPv6に携わってこなかった方にとってもIPv6の観点からセキュリティに触れる機会にしたいと考えています。