概要:
メディデータでは、トランスポート層セキュリティ(TLS)というセキュリティプロトコルやSSL認証機関への更新を自社のシステムで継続的に実施しています。FTPを除くメディデータのすべてのウェブサービスへの更新が完了しました。
更新された同様のTLSをHDC(ヒューストン・データセンター)およびFRA(フランクフルト・データセンター)のFTPサーバーに適用する予定です。ただし、FRAの認証機関はGlobal Signから変更はしません。
何が変更されるのですか?
- FTP04上のFTPサービスはすべて、2018年12月1日までにFTP01にマイグレーションする必要があります。
- これは、サポートされていないソフトウェアや脆弱性のあるTLSプロトコルを廃止するうえで必須の作業です。新しいFTP01サーバーがサポートするのはTLS 1.2のみで、3DESなどの弱い暗号化アルゴリズムはサポート対象外となりました。
- マイグレーションの詳細は、PMにお問い合わせください。
すべての更新は、標準のメンテナンス時間に実施されます。標準のメンテナンス時間は、米国中部時間CDT午後6時〜午後10時であり、日本時間では翌日の午前8時〜正午となります。
ユーザにはどのような影響がありますか?
- HDCまたはFRAのFTPサーバー経由のファイルのアップロードまたはダウンロード
どのような変更がすでに発生していますか?
- FRA FTPサービス(ftp07・ftp08)上のSSL証明書は、Global Signの証明書によって更新されます。2018年7月21日- 完了
- ヒューストンデータセンター(Houston Data Center;HDC)FTPサービス(ftp01・ftp02・ftp03)上のSSL証明書は、弊社の認証機関およびプロバイダであるEntrust Datacardに移行します。2018年9月15日 - 完了
- HDCのすべてのFTPサービス上でサポートされるTLSプロトコルは、バージョン1.2に制限されます。2018年9月29日 - 完了
- (112ビットと見なされる)3DESなどの(128ビットより小さい)弱い暗号スイートは、HDCでは無効になります。2018年9月29日 - 完了
- FRAのすべてのFTPサービス(ftp07・ftp08)上でサポートされるTLSプロトコルは、バージョン1.2に制限されます。2018年10月27日 - 完了
- (112ビットと見なされる)3ESなどの(128ビットより小さい)弱い暗号スイートは、FRAでは無効になります。2018年10月27日 - 完了
テスト
TLS 1.2およびEntrustルート証明書の両方との互換性を確認するために、1つのFTPサーバーが作成されています。どちらのテストインスタンスもテストデータを含んでおらず、バッチコマンドに正常に応答することもできません。FTPサービスへHTTPS(TLS)接続が確立できれば、テストは成功です。
- FTPホスト名: ftp06.ftp.mdsol.com
- FTP接続をテストすることのみを目的とした認証情報が提供されています。
- ユーザ名:cs_verify
- • パスワード:7^7J23a3
- メディデータはFTP/s(FTP over SSL)にのみ対応しています
- TLS 1.2プロトコルのみに対応しています
- 新しいEntrust証明書がロードされました
- FTPクライアントはTLS 1.2対応で、かつEntrust Datacardルートストア証明書がロードされている必要があります。
- FTPクライアントは、次のいずれかの暗号スイートに対応する必要があります。
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
ルートストアは、以下のような条件のために更新されない場合があります。
- FTPクライアントが古すぎるか、定期的に更新されていません。Entrustは未対応バージョンを含むほとんどの主要ブラウザおよびFTPソフトウェア対応であるため、これは問題ではありません。
- この措置はブラウザソフトウェアを更新したり、統合ソフトウェアのルートストアを更新したりすることが目的です。Entrust証明書チェーンをダウンロードできます(以下のリンクを参照)。
よくある質問(FAQ)
Q:TLS 1.2とはなんですか?
A:TLSプロトコル(別名SSL)とは、安全なブラウザとAPIを安全に接続して、ウェブサービスへ統合するためのものです。バージョン1.0および1.1またはTLSプロトコルは、2018年6月にMedidata Clinical Cloudプラットフォームのサポートが終了します。これは、SSL経由のFTPやその他のアドオンを含む、Rave、RaveX、iMedidataプラットフォームのすべてのウェブサービスに影響します。
TLSバージョン1.0は、現在は業界標準によって安全であるとみなされておらず、BeastやTLS Poodleなどの既知の脆弱性が含まれています。このプロトコルは、Microsoft・Google・Salesforceなどの主要ベンダーや、PCI・NISTなどのセキュリティフレームワークにより、2018年中に非推奨とされる予定です。
v1.0とv1.1の間にセキュリティや価値の差がほとんどないため、バージョン1.2の導入後にTLSバージョン1.1を利用しません。
Q:ENTRUST証明書とは何ですか?
A:SSL証明書は、TLS暗号化プロトコルを使用してウェブサービスへのアクセスを保護するために使用するものです。メディデータは、弊社の証明書更新の一環として、GoDaddyの代わりに主要認証機関であるEntrust Datacardに移行します。欧州の認証機関については引き続きGlobalSignを利用します。
ブラウザ・FTPクライアント・統合(API)ソフトウェアは、TLS(SSL)との安全な通信を初期化するために、ルートストアに依存しています。これらのルートストアには、EntrustやGoDaddyなどの主要認証機関のルート証明書が含まれています。このようなルートストアを定期的に更新せず、Entrustのルート証明書をロードしていない場合、クライアントに接続エラーが発生します。通常、この更新はソフトウェアベンダーによって自動的に実施されます。
Q:TLSや証明書の更新によって影響を受けるメディデータシステムはどれですか?
A:この更新は、HTTPSでウェブサービスを使用するすべてのシステムに影響があります。たとえば、ブラウザやFTPクライアント、RWS・iMedidata・EDIを使用するシステム統合サービスなどに影響します。
Q:テストは、何をもって成功とみなされますか?
A:テストは接続の確認のみを目的としています。つまり、確立された安全な接続の有無を確認するということです。ブラウザには、安全なサイトであることを示すバッジと認証ページのみが表示されます。FTPクライアントには、認証が成功したことが表示されます。
ダウンロード確認のためのテストフォルダ内にTest_READMEという名前のファイルが作成されましたが、この手順は必須ではありません。アップロード は許可されていません。
Q:メディデータでは、エンドツーエンドのFTPテストを完了させるためにテストデータを用いてテストFTPサイトを作成できますか?
A:テストFTPインスタンスは最小限のテストに対応するように作成されているため、テストデータを使用することはできません。システムを問わず、アプリケーションアーキテクチャは一切変更しません。TLSインフラストラクチャはアプリケーションシステムから独立しています。そのため、ユーザに必要なのは接続成功テストのみです。アプリケーションまたはデータのアーキテクチャに対するリスクはありません。
Q:古いバージョンのTLSを無効にする必要はありますか?
A:いいえ。ユーザの観点では必要ありません。TLS 1.2に対応する必要はありますが、古いバージョンのソフトウェアを無効にする必要はありません。メディデータ以外の他の古いシステムとは互換性を維持しないことを推奨します。
Q:TLS接続に関する詳細情報はユーザ向けに提供されていますか?
A:暗号化されたセッションおよび弊社のFTPアーキテクチャの性質上、詳細なログ情報は提供できません。
上記の手順で問題が解決されます。解決されない場合は、カスタマーサポートにお問い合わせください。
ヒント:メディデータでは、製品・サービスの向上に努めています。この記事を「フォロー」していただくと、新たな解決方法が公開されたときに、電子メールで通知を受け取ることができます。
メディデータCustomer Successセンターをご利用いただき、誠にありがとうございます。
コメント
0件のコメント
サインインしてコメントを残してください。