Opinion Brawte nfaq 0 Comments

模範を示す:UK.govの安全なサーバー設定はせいぜい不完全なもの

Table of Contents

模範を示す:UK.govの安全なサーバー設定はせいぜい不完全なもの

英国政府のウェブサイトのセキュリティは一貫しておらず、地方自治体は最も悪い違反者の一つとなっている。

大臣らは長年にわたり、英国を「サイバー空間でビジネスを行う上で世界で最も安全な場所の一つ」にすることについて語っており、その一環として政府サービスをオンラインで利用できるようにすることが挙げられている。

政府も、特に国立サイバーセキュリティセンターがここに公開している便利なガイドを通じて、安全なサーバー設定のベストプラクティスを推進しています。

El Reg は最近、弱い暗号の使用やデジタル証明書の不適切なインストールなどの問題により、ある主要な電子政府サービス (運転免許証のオンライン更新) が、本来あるべきほど安全ではなかったと報じました。

この問題により、読者のアンディさんはFirefoxとSamsung S7ブラウザのどちらを使っても運転免許庁(DVLA)のサイトにアクセスできなくなりました。これに対しDVLAは「当社のウェブサイトのセキュリティ証明書はすべて業界標準を満たしています」と回答しましたが、ポール・ムーア氏をはじめとするセキュリティ専門家や情報提供者は、この回答は証明書が正しくインストールされていないという点を見落としていると指摘しました。

アンディは、Qualys SSL Labs によるサイトの評価が不合格の「F」から「B」に上がった最近の改善にもかかわらず、サイトにはまだ問題があると結論付けました。

パスポートサービス SSL Labs

パスポートサービス SSL ラボ

Passport Service サイトのセキュリティ ヘッダー評価は、依然として「D」のままです。

パスポートサービスのセキュリティヘッダー

パスポートサービスのセキュリティヘッダー

先週、ムーア氏はパスポート申請の追跡のため、パスポートサービスのサイトを利用する必要がありました。月曜日に、サイトの証明書(https://www.gov.uk/track-passport-application)が正しくインストールされておらず、Galaxy S8のブラウザで読み込まれず、エラーが発生していることに気付きました。

パスポートサービスの失敗

パスポートサービスのSSLエラーメッセージがムーアに表示された

ムーア氏がこの問題について公に苦情を申し立て、エル・レグ社が独自の調査を開始した直後、パスポートサービス追跡ウェブサイトのセキュリティが改善され、A+評価を獲得しました。これは良い兆候であり、このタイミングは偶然かもしれません。パスポートサービス側はコメント要請にまだ回答していないため、真偽のほどは分かりません。

この 2 つの事例をきっかけに、UK.gov SSL サーバーのセキュリティ全般について、より広範囲に調査するようになりました。一部の専門家は、このセキュリティが全般的に嘆かわしいレベルにあると考えています。

「壊れていたり、設定が間違っていたり、安全でない .gov サイトの数が多すぎるのは衝撃的だ」とムーア氏はEl Regに語った。

私たちは中央政府のウェブサイトのサンプルを調査し始めました。歳入関税庁の税務署員が運営するウェブサイトと、しばしば批判されている雇用年金省のユニバーサル・ベネフィット・サービスに関連するウェブサイトは、どちらも安全に構築されていることがわかりました。

税務サービス SSL Labs

税務サービス SSL Labs

ユニバーサルクレジット SSL ラボ

ユニバーサルクレジット SSL ラボ

小額訴訟の申し立てや弁護を行うサイト「Moneyclaim.gov.uk」は先週月曜日に不合格の「F」評価を受けたが、火曜日までに改善して「C」評価を獲得した。

マネークレーム SSL ラボ

マネークレーム SSL ラボ

「MCOLはこれまで見た中で最悪というわけではないが、アップグレードすれば確実に恩恵を受けることができるだろう」とムーア氏は述べた。

中央政府の SSL サーバーに関する矛盾した状況が生まれつつありました。

「部署によっては内部で管理しているところもあれば、外部委託しているところもあります」とムーア氏は述べた。「多くの部署はhttp://gov.ukを通じてサービスを提供しており、これは非常に高い評価を得ています。しかし、完全に移行していない部署もあり、古くて時代遅れのサービスに依存しています。」

地方自治体の SSL サーバーに関しては、状況はさらに悲惨です。

バーミンガム市議会が運営し、運転者が罰金通知書を支払えるように設計されたサイト(https://www.birmingham.gov.uk/pcn)は、「PCI DSSに準拠していない」とムーア氏は指摘した。「@BhamCityCouncil で実際に安全なサイトを見つけるのは*至難の業*です」と彼は付け加えた。

Qualys SSL Labsのサーバーテストツールを用いてアクセスした際、このサイトは不合格の「F」評価を受けました。サイトの証明書の設定と構成が不十分であることが判明しました。El Regはこの問題を議会に提起しましたが、まだ回答はありません。

バーミンガムのドライバーは情報セキュリティ上の支払いの危機に直面

バーミンガム市議会のSSL失敗

ウェスト・サセックス州議会とランカシャー州ウィガン市議会が運営する「安全な場所」とされていたものも、全く安全とは言えなかった。

これらすべてが重要な意味を持つのは、サイトのHTTPS証明書とトラフィック暗号化のためのサーバー設定が適切に行われていないと、個人情報が傍受されるリスクが高まるからです。さらに、設定が不適切なサイトを利用すると、ブラウザにエラーや警告が表示され、ユーザーを困惑させ、苛立たせる可能性が高くなります。

F 評価を受けたサイトであっても、必ずしも容易に悪用される可能性のある脆弱性にさらされているわけではありませんが、ユーザーを保護するための基本的な予防措置が講じられていないことを示しています。®

Opinion

Smart Recommendations

Discover More