2015年に本格化が予想されるSHA-2への移行

 多くのIT管理者にとって、2015年は多忙な1年となりそうだ。Windows Server 2003が7月15日にサポート終了することに加え、もう1つ別の“移行問題”への対応が求められるからだ。それがSSLサーバー証明書に使われるハッシュアルゴリズムを、従来の「SHA-1」から「SHA-2」へと移行する問題である。

 SHA-1、SHA-2はともに電子署名を施すためのアルゴリズム規格であり、インターネット上での安全な通信を実現する「SSL(Secure Sockets Layer)通信」に欠かせない技術の1つ。ECサイトなど、個人情報やクレジット情報といった機密性の高い情報の入力が求められるWebサイトで用いられる「SSLサーバー証明書」が正規のものか、判別するために活用されている。

 SHA-1は、アメリカ国家安全保障局 (NSA) が1995年に設計し、アメリカ国立標準技術研究所(NIST)が規格化したもので、長らくデファクトスタンダードとして採用されてきた。しかし近年、コンピュータの性能向上によって徐々に解読の可能性が高まってきており、計画的な移行が必要とされている。

 これを受けて広がりつつあるのが、いわゆるSHA-2と呼ばれる、より複雑なアルゴリズムへと移行する動きだ。実際、Webブラウザーを提供する主要企業も、SHA-1によるSSLサーバー証明書を利用したWebサイトへ警告メッセージを表示することを立て続けに表明。例えばマイクロソフトでは、SSLサーバー証明書を発行する認証局(CA)に対し、SHA-1によるSSLサーバー証明書の発行を2015年12月までに停止し、その利用を2016年12月までに終えるように要求。それを越える証明書に対して警告メッセージを表示するとしている。またグーグルでも、2014年11月リリースの「Chrome 39」以降順次、SHA-1を用いたSSLサーバー証明書への警告メッセージを表示すると発表。つまり2015年は、多くの企業でSHA-2への完全切り替えに向けた取り組みの本格化が予想されるのだ。

 SHA-1からSHA-2への具体的な移行スケジュールとしては、以下のようなプランが考えられる。まず2015年の間は1年版のSHA-1証明書を使用し、その間に調査や検証、移行方針を策定。PC向けWebサイトについては2015年内に有効期限が切れるものから順次SHA-2証明書へと移行を進め、携帯電話向けWebサイトについてはSHA-1証明書を継続。そして2016年からすべてのWebサイトにおいてSHA-2証明書へと切り替えるというものだ。

図1●SHA-1からSHA-2への移行スケジュールの例
図1●SHA-1からSHA-2への移行スケジュールの例
[画像のクリックで拡大表示]
SHA-2への移行では2015年には移行方針を策定し、実際の移行作業に着手する必要がある

 しかし実際には、多くのWebサイトやSSLサーバー証明書を運用している企業であるほど、このようにスムーズな移行を実現できない可能性がある。その理由は、多くの企業がSSLサーバー証明書の管理に関する4つの課題を解決できないままでおり、それが移行作業の障害となることが予想されるからだ。では、SHA-2証明書への移行を問題なく進めるために、企業が対処すべき課題とはどんなものだろうか。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。