Information / Press Releaseインフォメーション / プレスリリース

 2024年04月19日
株式会社データ・アプリケーション

ACMS B2B/B2B LE SFTP手順のセキュリティ強化対策に関するお知らせ

拝啓 貴社ますますご盛栄のこととお慶び申し上げます。平素は格別のお引き立てをいただき、厚く御礼申し上げます。

さて、2020年4月にIETF※1がRFC 8758※2「SSHにおいてRC4を廃止」を公開しました。これに伴いACMS B2B/B2B LE のSFTP手順オプション(以下、SFTP手順)をご利用のお客様を対象に、セキュリティ強化対策およびRFC 8758準拠した設定についてご案内いたしますので、お客様のセキュリティーポリシーに合わせご対応いただきますようお願い申し上げます。
なお、ご不明な点などございましたら、弊社カスタマー・サポート・サービスまでお問い合わせください。今後とも弊社および弊社製品を、何卒よろしくお願い申し上げます。

※1 Internet Engineering Task Force、インターネット技術の標準化を推進する任意団体
2 Deprecating RC4 in Secure Shell(SSH) https://www.rfc-editor.org/rfc/rfc8758

■ 対象
ACMS B2B/B2B LE にてSFTP手順(サーバ)をご利用のお客様

■ SFTP手順(サーバー)のご利用に関するご案内
(詳細は次ページ以降にある[1]~[5]をご参照ください)

ご案内フローチャート


[1] SFTP手順(サーバ)での暗号アルゴリズムの初期設定について

ACMS B2B/B2B LE Ver. 5.6.0以降のSFTP手順(サーバ)ではセキュリティ強化およびRFC 8758準拠を目的として下表のとおり暗号アルゴリズムの初期設定(既定値)を変更しました。


表1 暗号アルゴリズムの初期設定(既定値)

# 暗号アルゴリズム 優先順位
変更前 変更後
1 aes256-ctr 1 1
2 aes192-ctr 2 2
3 aes128-ctr 3 3
4 arcfour256 4 -※3
5 arcfour128 5 -※3
6 aes256-cbc 6 4
7 aes192-cbc 7 5
8 aes128-cbc 8 6
9 blowfish-cbc 9 7
10 3des-ctr 10 8
11 arcfour 11 -※3
12 3dec-sbc 12 9

※3 RFC 8758では「arcfour」、「arcfour128」および「arcfour258」が廃止されたため、既定値から除外


[2] SFTP手順(サーバ)ご利用に際し、事前確認のお願い

ACMS B2B/B2B LE Ver. 5.6.0以降でSFTP手順(サーバ)をご利用いただく場合、表1の初期設定が、お客様のセキュリティポリシーに合致するかどうかをご確認ください。また、表1の初期設定に変更した場合、通信可能かどうかを通信相手先にご確認ください。

初期設定がお客様のセキュリティーポリシーに合致せず、通信相手先が当初期設定により通信に対応できない場合には、以降に記載のある[5]の対処をお願いいたします。


[3] アップグレード時におけるRFC 8758 推奨事項への対応

ACMS B2B/B2B LE Ver. 5.5.0以前をご利用で、RFC 8758推奨事項に準拠させる場合、以下対応が必要となります。
・「arcfour」、「arcfour128」、「arcfour256」の無効化

ACMS B2B/B2B LE Ver.5.6.0アップグレード時に既存のACMSプロパティを継続利用し、かつRFC 8758準拠させる場合、以下例の通り cps.sshd_ciphersプロパティをコメントアウトしてください。(コメントアウトにより表1の優先順位が適用されます)

【例】
# cps.sshd_ciphers=aes256-ctr,aes192-ctr,aes128-ctr,arcfour256,arcfour128,aes256-cbc,aes192-cbc,aes128-cbc,blowfish-cbc,3des-ctr,arcfour,3des-cbc

<注意>
1. 設定時は改行せず1行で記載してください。
2. プロパティを変更した場合は、ACMS B2B/B2B LEの再起動が必要です。


[4] ACMS B2B/B2B LE Ver. 5.5.0以前をご利用のままRFC 8758 推奨事項へ対応

ACMS B2B/B2B LE Ver. 5.5.0以前をご利用で、RFC 8758推奨事項に準拠させる場合、以下対応が必要となります。
・「arcfour」、「arcfour128」、「arcfour256」の無効化

RFC 8758準拠させる(表1の優先順位を適用する)場合、以下例の通り cps.sshd_ciphersプロパティから「arcfour」、「arcfour128」、「arcfour256」を削除してください。

【例】
cps.sshd_ciphers=aes256-ctr,aes192-ctr,aes128-ctr,aes256-cbc,aes192-cbc,aes128-cbc,blowfish-cbc,3des-ctr,3des-cbc
(プロパティから、arcfour、arcfour128、arcfour256を削除)

<注意>
1. 設定時は改行せず1行で記載してください。
2. プロパティを変更した場合は、ACMS B2B/B2B LEの再起動が必要です。


[5] RFC8758推奨への設定変更後に通信できなくなった場合の対応

通信相手先が表1の初期設定が原因で通信できない場合は、以下設定をご検討ください。
なお、当設定変更は、脆弱性リスクを内包することになるため、お客様セキュリティーポリシーに合わせてご判断いただけますようお願いいたします。

【暗号アルゴリズム】
ACMSプロパティのcps.sshd_ciphersプロパティを有効化し(行先頭に#が記載されていた場合は#を削除)、次のように設定してください。
cps.sshd_ciphers=aes256-ctr,aes192-ctr,aes128-ctr,aes256-cbc,aes192-cbc,aes128-cbc,blowfish-cbc,3des-ctr,3des-cbc,arcfour256,arcfour128,arcfour
(行末に「,arcfour256,arcfour128,arcfour」を追加)

<注意>
1. 設定時は改行せず1行で記載してください。
2. プロパティを変更した場合は、ACMS B2B/B2B LEの再起動が必要です。


以上


参考:ACMS B2B V5.6.0リリースノート抜粋

1. SFTPサーバ - 暗号アルゴリズムの改善
セキュリティ強化を目的として、下記の暗号アルゴリズムを既定値から除外しました。
- arcfour
- arcfour128
- arcfour256
本セキュリティ強化によって通信できない通信相手が存在する場合は、除外された暗号アルゴリズムをacms.propertiesの「cps.sshd_ciphers」に設定することで、従来の挙動に戻す事が可能です。
[PC:1311]



【お問い合わせ先】
カスタマー・サポート・サービス契約をお持ちのお客様
Webサポートシステムからお問い合わせください。

ページのトップへ