【問273】個人情報保護士 練習問題|SSL/TLS
情報セキュリティ 問93/120難易度B(標準)
問題文
SSL/TLSに関する次の記述のうち、最も適切なものはどれか。
- 1.SSL 3.0は現在でも安全性が確認されており、利用が推奨されている
- 2.TLSはSSLの後継プロトコルであり、現在はTLS 1.2以上の使用が推奨されている
- 3.SSL/TLSはデータの暗号化のみを行い、通信相手の認証機能は持たない
- 4.HTTPS通信では、URLが「http://」で始まるWebサイトを通じて暗号化通信が行われる
解説
正解
正解は選択肢2です。
各選択肢の解説
選択肢1 → ❌誤り
SSL 3.0はPOODLE攻撃などの脆弱性が発見されており、現在は利用が非推奨(廃止)です。安全性は確認されていません。
選択肢2 → ✅正解
TLS(Transport Layer Security)はSSLの後継プロトコルです。TLS 1.0や1.1にも脆弱性が指摘されており、現在はTLS 1.2以上(可能であればTLS 1.3)の使用が推奨されています。
選択肢3 → ❌誤り
SSL/TLSはデータの暗号化に加えて、デジタル証明書を用いたサーバ認証(およびオプションでクライアント認証)の機能も持っています。
選択肢4 → ❌誤り
HTTPS通信では、URLは「https://」で始まります。「http://」は暗号化されていない通常のHTTP通信です。
背景知識
SSL/TLSはインターネット上の通信を暗号化するプロトコルとして最も広く利用されています。SSL 2.0・3.0、TLS 1.0・1.1は既に脆弱性が確認され非推奨となっています。TLS 1.3は2018年に標準化され、ハンドシェイクの高速化とセキュリティの強化が図られています。個人情報をWebフォームで収集する場合、HTTPS通信による暗号化は必須の安全管理措置です。サーバ証明書により通信相手の真正性も確認できます。
学習アドバイス
SSL/TLSのバージョンの歴史と安全性の変遷を理解しましょう。「SSL 3.0以前は非推奨」「TLS 1.2以上を使用」という点は試験で頻出です。HTTPSの仕組みもセットで覚えましょう。
まとめ
- TLSはSSLの後継で、現在はTLS 1.2以上が推奨
- SSL/TLSは暗号化とサーバ認証の両機能を提供
- HTTPS通信はURLが「https://」で始まる暗号化通信