ArcGIS 製品における TLS プロトコルの更新

(注:本記事は米国 Esri 社のブログ記事「2019 ArcGIS Transport Security Improvements」を ESRIジャパン株式会社にて翻訳したものです)

Esri は、提供するサービスとソフトウェアのセキュリティを可能な限り安全に保つため、セキュリティ基準とプロトコルを継続的に更新しています。このセキュリティ基準の更新に対応するために、お客様が ArcGIS Online などの SaaS 製品にアクセスするクライアント システムをご利用の場合は、システムの構成を最新の状態にしていただく必要があります。2019 年中に重要なセキュリティの更新を多数予定しております。更新が実施される前に、対応の準備をお願いします。

2019 年 2 月: ArcGIS Online の TLS 1.0 と 1.1 のサポート終了

ArcGIS Online は現在 TLS 1.0、 1.1、および 1.2 をサポートしていますが、2019 年 2 月以降は TLS 1.2 を使用した接続のみが可能になります。古いプロトコルのバージョンがリリースされたのは 10 年前になり、それ以降にたくさんの改善が行われています。このため、現状では TLS 1.2 がインターネットで暗号化されたコンテンツを転送するのに最も安全で信頼できるバージョンだと認識されています。

さらに、PCI データ セキュリティ スタンダード(PCI DSS:Payment Card Industry Data Security Standard)と FedRAMP 認証プログラムは SSL/TLS 1.0 の実装を無効にするように求めています。TLS 1.1 はまだ PCI と FedRAMP で許可されていますが、TLS 1.2 が強く推奨されています。TLS 1.0 と 1.1 のセキュリティ上の理由と、複数のセキュリティ基準や認定機関の推奨を受け、Esri は TLS 1.0 と 1.1 のサポートを終了することにしました。

ArcGIS Online にブラウザーでアクセスして利用する一般的なケースでは、最新のブラウザーは TLS 1.2 に対応しているため、ユーザーは何もせずにそのままお使いいただけます。ArcGIS Pro も TLS 1.2 に対応しています。ArcGIS Online サービスに接続する ArcGIS Desktop、ArcGIS Desktop 上に構築および拡張されたアプリケーション、ArcGIS EnterpriseArcGIS Engine (ArcObjects) で構築されたアプリケーションとパートナー エクステンションでは、TLS 1.2 接続を有効にする設定が必要です。設定の詳細については、「ArcGIS 製品における TLS プロトコル更新に関する重要なお知らせ」をご参照ください。

ArcGIS Enterprise 10.7 : TLS 1.0、1.1、HTTP のデフォルトでの無効化

今後リリースされる ArcGIS Enterprise 10.7 では、TLS 1.2 の HTTPS のみがデフォルトで有効化され、デフォルトのインストールでセキュリティが確保されるようになっています (ArcGIS Enterprise 10.6.1 ではデフォルトで TLS 1.0 が無効になっており、それ以前のバージョンではデフォルトで TLS 1.0、1.1、1.2、HTTP、HTTPS を使えるようになっていました)。注意点として、以前のバージョンから ArcGIS Enterprise をアップグレードする際は、既存のシステムで有効にしていた TLS 1.0、1.1、HTTP は自動では無効化されません。これは、お客様が HTTPS と TLS 1.2 だけを利用するように、システム更新時に ArcGIS Enterprise の配置を設定していただく必要があるからです。

2019 年 6 月: ArcGIS Online の HTTP サポート終了と HSTS の実施

ArcGIS Online は、すべての ArcGIS Online のホスト サービスの通信を HTTPS のみで許可するオプション設定を提供しています。2018 年 9 月の ArcGIS Online のアップデート以降は、HTTP を再度有効化できないようにしました。また、ArcGIS Online はジオコーディング、ルート検索、ベースマップなどのサービスの HTTPS 対応を行っています。

HSTS(HTTP Strict Transport Security)は、特別な応答ヘッダーを使用して Web アプリケーションが指定するセキュリティ強化です。サポートされているブラウザーがこのヘッダーを受信すると、ブラウザーは HTTP 経由で指定されたドメインに通信を送信しないようにします。すべてのプレーン テキストのリンクを自動的に安全なものに変換することにより、これを実行します。また、クリックスルー証明書の警告を無効にします。

2017 年には ArcGIS Online の組織サイトで、すべての通信で HTTPS を強制する設定をデフォルトにし、HSTS を透過的に有効にしました。これにより、HSTS がデフォルトで提供する追加の保護がすべての顧客データに適用されました。重要な注意点として、お客様によっては組織サイトの URL に対してセキュリティ テスト(SSLLabなど)を実行された場合に、HSTS が有効ではないことを示す結果が表示される可能性があります。これは、すべての ArcGIS Online 組織で共通の静的ファイル セットに、組織によって HTTP 経由でアクセスしたり、HTTPS 経由でアクセスしたりするためです。 HSTS のテストが失敗するのは、顧客データではなく静的ファイルにアクセスしているためです。お客様の顧客データが安全なことは、顧客データへのアクセス要求に関連する HSTS ヘッダーを示す Fiddler などのツールで確認することができます。この問題は、すべての顧客が HTTPS を使用するように移行すると解消されます。

お客様の TLS 1.0 および 1.1 のサポート終了への対応が難しい作業になると予想されますので、可能な限り他の大きな変更を同時期に行わないように調整しています。従いまして、すべての ArcGIS Online 組織で HTTPS と HSTS を強制的に有効にするのは、2019 年 6 月の ArcGIS Online アップデートで行う計画をしています。この変更が実施されると、すべてのお客様の HSTS テスト結果が正常になります。

2019 年 6 月以降の予定

  • TLS 1.3

新しいプロトコル標準である TLS 1.3 は、2018 年 8 月に公開されました。したがって、現時点で対応しているクラウド インフラストラクチャ プロバイダーやブラウザーは多くありません。今後 ArcGIS Online へ組み込むために TLS 1.3 の検証を続けており、既に TLS 1.3 互換の暗号化モジュールを一部の製品に組み込み始めています。利用可能になった Esri 製品は随時お知らせ致します。

  • HSTS プリロード リスト登録

組織間で HTTPS のみを強制的に使用することに関して、当面は ArcGIS Online ドメインを HSTS プリロード リストに登録しませんが、将来的には適切な可用性と安定性の確保を考慮して検討します。

セキュリティに関する更新情報は、ArcGIS Trust Center の「ArcGIS SSL / TLS の説明」ドキュメント(英語)をご参照ください。