Information / Press Releaseインフォメーション / プレスリリース

 2023年08月31日
株式会社データ・アプリケーション

ACMS Apex SFTP手順のセキュリティ強化対策に関するお知らせ

この度は、エンタープライズ・データ連携基盤「ACMS Apex」をご購入いただき、誠にありがとうございます。

さて、IETF※1が2020年4月にRFC 8758※2「SSHでのRC4 の非推奨化」、2022年1月にRFC 9142※3「SSHの鍵交換方式の更新と推奨事項」を公開しました。これに伴いACMS Apex V1.7_p10以降のSFTP手順オプション(以下、SFTP手順)をご利用のお客様を対象に、セキュリティ強化対策およびRFC 8758、RFC 9142推奨事項に対する設定についてご案内いたしますので、お客様のセキュリティーポリシーに合わせご対応いただきますようお願い申し上げます。

なお、ご不明な点などございましたら、弊社カスタマー・サポート・サービスまでお問い合わせください。今後とも弊社および弊社製品を、何卒よろしくお願い申し上げます。

※1 Internet Engineering Task Force、インターネット技術の標準化を推進する任意団体
※2 Deprecating RC4 in Secure Shell(SSH)
  https://www.rfc-editor.org/info/rfc8758
※3 Key Exchange(KEX)Method Updates and Recommendations for Secure Shell(SSH)
  https://www.rfc-editor.org/info/rfc9142

■ 対象
ACMS Apex V1.7_p10以降にてSFTP手順をご利用のお客様


■ 今回ご案内する内容

  1. SFTP手順での暗号アルゴリズムの初期設定変更について
  2. SFTP手順での鍵交換方式の初期設定変更について
  3. RFC 8578 推奨事項への対応 ※ACMS Apex V1.7_p10以降へのアップグレード時のみ
  4. RFC 9142 推奨事項への対応 ※ACMS Apex V1.7_p10以降へのアップグレード時のみ
  5. SFTP手順ご利用に際しての事前確認のお願い
    ①暗号アルゴリズムの初期設定変更
    ②鍵交換方式の初期設定変更

1. SFTP手順での暗号アルゴリズムの初期設定変更について
ACMS Apex V1.7_p10以降のSFTP手順ではRFC 8758準拠を目的として、下表のとおり暗号アルゴリズムの初期設定(既定値)を変更しました。この変更では「arcfour256」、「arcfour128」、および「arcfour」が非推奨とされたため、既定値から除外しています。

表1 暗号アルゴリズムの初期設定(既定値)

#暗号アルゴリズム優先順位
変更前変更後
1 aes256-ctr 1 1
2 aes192-ctr 2 2
3 aes128-ctr 3 3
4 arcfour256 4 -
5 arcfour128 5 -
6 aes256-cbc 6 4
7 aes192-cbc 7 5
8 aes128-cbc 8 6
9 blowfish-cbc 9 7
10 3des-ctr 10 8
11 arcfour 11 -
12 3des-cbc 12 9

2. SFTP手順での鍵交換方式の初期設定変更について
ACMS Apex V1.7_p10以降のSFTP手順ではRFC 9142準拠を目的として下表のとおり鍵交換方式の初期設定(既定値)を変更しました。この変更では「diffie-hellman-group1-sha1」および「diffie-hellman-group-exchange-sha1」が非推奨とされたため、既定値から除外しています。また「diffie-hellman-group14-sha256」を新しくサポートしました。

表2 鍵交換方式の初期設定(既定値)

#鍵交換方式鍵長(下限値)優先順位
変更前変更後
1 diffie-hellman-group-exchange-sha256 2048 1 1
2 diffie-hellman-group-exchange-sha1 2048 2 -
3 diffie-hellman-group14-sha256 2048 - 2
4 diffie-hellman-group14-sha1 2048 3 3
5 diffie-hellman-group1-sha1 1024 4 -

※ ACMS Apex V1.6_p10にて鍵長の下限値が変更されました。詳しくは下記サイトをご確認ください。
  https://www.dal.co.jp/information/info_20221019.html


3. RFC 8578 推奨事項への対応 ※ACMS Apex V1.7_p10以降へのアップグレード時のみ
RFC 8578推奨事項に対応する(表1の優先順位を適用する)場合、「arcfour256」、「arcfour128」、および「arcfour」の無効化が必要となりますので、以下、ご確認ください。※デフォルト状態で利用いただいている場合は不要です。

【SFTPサーバーの場合】
着信リスナーに以下のプロパティを設定している場合は、プロパティ自体を削除するか、値から本暗号アルゴリズム(arcfour256、arcfour128、arcfour)を削除(無効化)してください。(着信リスナーの再起動で設定が反映)
 comm.sftp.server.ciphers

【SFTPクライアントの場合】
通信ユーザーに以下のプロパティを設定している場合は、プロパティ自体を削除するか、値から本暗号アルゴリズム(arcfour256、arcfour128、arcfour)を削除(無効化)してください。(次回の発信通信時に設定が反映)
 comm.sftp.client.ciphers


4. RFC 9142 推奨事項への対応 ※ACMS Apex V1.7_p10以降へのアップグレード時のみ
RFC 9142推奨事項に対応する(表2の優先順位を適用する)場合、「diffie-hellman-group-exchange-sha1」、「diffie-hellman-group1-sha1」を削除(無効化)、および「diffie-hellman-group14-sha256」を追加(有効化)する必要がありますので、以下、ご確認ください。※デフォルト状態で利用いただいている場合は不要です。

【SFTPサーバーの場合】
着信リスナーに以下のプロパティを設定している場合は、プロパティ自体を削除するか、値から本鍵交換方式「diffie-hellman-group-exchange-sha1」、「diffie-hellman-group1-sha1」を削除(無効化)し、「diffie-hellman-group14-sha256」を追加(有効化)してください。
(着信リスナーの再起動で設定が反映)
 comm.sftp.server.kex

【SFTPクライアントの場合】
通信ユーザーに以下のプロパティを設定している場合は、プロパティ自体を削除するか、値から本鍵交換方式「diffie-hellman-group-exchange-sha1」、「diffie-hellman-group1-sha1」を削除(無効化)し、「diffie-hellman-group14-sha256」を追加(有効化)してください。(次回の発信通信時に設定が反映)
 comm.sftp.client.kex


5. SFTP手順ご利用に際しての事前確認のお願い
ACMS Apex V1.7_p10以降でSFTP手順をご利用いただく場合、表1、2の初期設定が、お客様のセキュリティーポリシーに合致するかどうかをご確認ください。また、表1、2の初期設定に変更した場合、通信可能かどうかを通信相手先にご確認ください。

① 暗号アルゴリズムの初期設定変更
通信相手先が表1の初期設定により通信できない場合には、以下の設定をお願いいたします。なお、当該設定変更は脆弱性リスクを内包することになります。設定変更に際しては、お客様セキュリティーポリシーに合わせてご判断いただき、お客様環境に応じて太字部分の必要な箇所をプロパティに設定いただけますようお願いいたします。

【SFTPサーバーの場合】
以下のプロパティを着信リスナーに指定(着信リスナーの再起動で設定が反映)
comm.sftp.server.ciphers= aes256-ctr,
aes192-ctr,
aes128-ctr,
arcfour256,
arcfour128,
aes256-cbc,
aes192-cbc,
aes128-cbc,
blowfish-cbc,
3des-ctr,
arcfour,
3des-cbc

【SFTPクライアントの場合】
以下のプロパティを通信ユーザーに指定(次回の発信通信時に設定が反映)
comm.sftp.client.ciphers= aes256-ctr,
aes192-ctr,
aes128-ctr,
arcfour256,
arcfour128,
aes256-cbc,
aes192-cbc,
aes128-cbc,
blowfish-cbc,
3des-ctr,
arcfour,
3des-cbc

<注意>
 1. 複数行で記載していますが、設定時は改行せず1行で記載してください。

② 鍵交換方式の初期設定変更
通信相手先が表2の初期設定により通信できない場合には、以下の設定をお願いいたします。なお、当該設定変更は脆弱性リスクを内包することになります。設定変更に際しては、お客様セキュリティーポリシーに合わせてご判断いただき、お客様環境に応じて太字部分の必要な箇所をプロパティに設定いただけますようお願いいたします。

【SFTPサーバーの場合】
以下のプロパティを着信リスナーに指定(着信リスナーの再起動で設定が反映)
comm.sftp.server.kex= diffie-hellman-group-exchange-sha256,
diffie-hellman-group14-sha256,
diffie-hellman-group14-sha1,
diffie-hellman-group-exchange-sha1,
diffie-hellman-group1-sha1

【SFTPクライアントの場合】
以下のプロパティを通信ユーザーに指定(次回の発信通信時に設定が反映)
comm.sftp.client.kex= diffie-hellman-group-exchange-sha256,
diffie-hellman-group14-sha256,
diffie-hellman-group14-sha1,
diffie-hellman-group-exchange-sha1,
diffie-hellman-group1-sha1

<注意>
 1. 複数行で記載していますが、設定時は改行せず1行で記載してください。


■ 参考:ACMS Apex V1.7_p10リリースノート抜粋

[SFTP]
2. 鍵交換方式のデフォルト値変更
セキュリティ強化を目的として、鍵交換方式のデフォルト値をRFC9142に準拠するよう変更しました。
以下の鍵交換方式が有効となります。
 - diffie-hellman-group-exchange-sha256
 - diffie-hellman-group14-sha256
 - diffie-hellman-group14-sha1
本セキュリティ強化によって通信不可となるSFTPクライアント、サーバーが存在する場合は、以下のプロパティを設定してください。
 - comm.sftp.client.kex
 - comm.sftp.server.kex

3. 暗号アルゴリズムのデフォルト値変更
セキュリティ強化を目的として、暗号アルゴリズムのデフォルト値をRFC8758に準拠するよう変更しました。
以下の暗号アルゴリズムが有効となります。
 - aes256-ctr
 - aes192-ctr
 - aes128-ctr
 - aes256-cbc
 - aes192-cbc
 - aes128-cbc
 - blowfish-cbc
 - 3des-ctr
 - 3des-cbc
本セキュリティ強化によって通信不可となるSFTPクライアント、サーバーが存在する場合は、以下のプロパティを設定してください。
 - comm.sftp.client.ciphers
 - comm.sftp.server.ciphers


以上


【お問い合わせ先】
カスタマー・サポート・サービス契約をお持ちのお客様
Webサポートシステムからお問い合わせください。

ページのトップへ