TR8によるIBM i 7.3の暗号化機能の拡充
IBM i 7.3で最新のTLS(トランスポート レイヤー セキュリティ)プロトコル バージョン1.3がサポートされるというIBMの発表は、そのオペレーティング システムを稼働している顧客にとって、セキュリティ面での大きな朗報でした。また、そうしたユーザーの元へ、新たなテクノロジー リフレッシュで届けられたセキュリティ関連の機能強化は、それだけではありませんでした。
昨年、 IBM は、今日インターネットで使用されている、一般的に利用可能な最も強力な暗号化プロトコルであるTLS 1.3を、IBM iのショップが使用できるようにしました。TLS 1.3は、2018年の夏にリリースされ、それ以降、調査によればWeb上の1/4近くのサイトによって採用されるようになっています。TLS 1.3は、TLS 1.2に比べて高速であり、さらに重要なことには、セキュリティ脆弱性を自らもたらしたセキュリティ暗号アルゴリズムを廃止したことにより、よりセキュアなものになっています。
しかし、IBM iの顧客がTLS 1.3を利用するには、オペレーティング システムの最新リリースであるIBM iバージョン7.4への移行が必要でした。IBMは、今週のIBM i 7.3 TR8の導入によって、そうした状況の改善を図りました。つまり、そのバージョンのオペレーティング システムでのTLS 1.3のサポートが追加されたというわけです。
新たなTRを発表した昨日の COMMON ウェブキャストで、IBM iチーフ アーキテクトのSteve Will氏は、昨年の7.4リリースの時点で、IBMがIBM iバージョン7.3のセキュリティ上の欠点について認識していたことを認めています。「TLS 1.3のサポートは7.4には導入されましたが、7.4への導入だけで十分ではないことはその時点で分かっていました」と彼は述べます。
HelpSystems 社の2020年版の「Marketplace Survey」によれば、IBM i 7.3は現在もインストール ベースの50%で使用されているようです。これに対してIBM i 7.4は4%のみでした。HelpSystems社が調査を行ったのは昨年の秋であり、それ以降にアップグレードされたケースも多いことは間違いないため、おそらくその差は縮まっていると思われます。しかし、この先何年もの間、IBM i 7.3にはかなりの数のユーザーがい続けることになるため、IBMはIBM i 7.3を可能な限りセキュアにする必要があることになります。
IBM iのショップが、必ずしもセキュリティ意識が高い部類でないことは、我々の知るところです。けれども、これから何年にもわたって使用されることになるサーバー オペレーティング システムの、メインストリームでの、フル サポートのリリースに対して最新の暗号化技術のサポートを追加することの重要性については、IBMもはっきりと理解していました。
TLS 1.3は、開発に10年掛かりましたが、ちょうどTLSがその前のSSL(Secure Sockets Layer)技術から取って代わったように、ゆくゆくはTLS 1.2から取って代わることとなるでしょう。TLS 1.2は、使用するには安全でないとは(今のところ)言われていませんが、TLS 1.3が、今日、先見の明のあるセキュリティ意識の高い企業が採用している暗号化技術であることは疑う余地がありません。
「重要なのは、付き合いのあるTLS 1.2またはTLS 1.3の取引先と通信を行うのに必要なサポートのすべてが、7.4と7.3という最新の2つのリリースに組み込まれたということです」とWill氏はCOMMONウェブキャストで述べています。「そのため、必要なすべてのTLS 1.3属性を利用することができます。そのすべてを、IBMの情報を構成および取得するのに使用する標準的なメカニズムを通じて利用可能です。」
*OPSYSを使用している企業の場合は、新たなTLS 1.3暗号化アルゴリズムを使用するオプションが自動的に示されるようになるとWill氏は述べます。他の方式を使用してSSL/TLS接続を管理しているショップの場合は、IBM i 7.3 TR8が5月15日に利用可能になってから、手動で変更する必要があります。
「また、7.3システムでTLS 1.3を使用したい方のために、7.3システムで識別できるように、システム値のサポートも再び加えました。」とWill氏は述べます。「このデモ用システムの場合、SSL/TLSの管理に*OPSYSをすでに使用していたのでなければ、新たな値を明示的に追加する必要があります。」
また、IBMは、IBM i 7.4でのTLS 1.2のサポートの強化も行っています。暗号標準化団体では、TLS 1.2(2008年リリース)に対して、将来に向けての使用の安全性を強固にするいくつかの変更を行っています。具体的には、より多くの楕円曲線鍵交換アルゴリズムなど、いくつかの新たな暗号スイートを追加しています。IBMは、 昨年秋のIBM i 7.4 TR1で、そうしたTLS 1.2の機能強化のサポートを追加しましたが、今度は、IBM i 7.3の顧客に同じサポートが提供されます。
こうしたTLS 1.2の機能強化をサポートすることにより、IBM iの顧客は取引先とスムーズにデータ交換を行い続けることができることが保証されるとWill氏は述べます。
「クライアントの大半は1.3へ移行したがっていますが、1.2での取引先との通信も行うことができる必要があります」と彼は述べます。「取引先が1.2を使用していて、まだ1.3へ移行していない場合、やはり、取引先の暗号化機能等のうち、より強力な機能を使用したいと思うこともあるかもしれません。TLS 1.2には、そのためのいくつかの機能強化が追加されています。7.4には導入済みです。今度は、7.3にも導入されます。」
このような状況は、 2017年にIBMが直面していた状況と似ています。当時IBMは、一部のIBM i 7.1ユーザーから、新たなSSL/TLS暗号化アルゴリズム(特に楕円曲線暗号化アルゴリズム)のサポートをオペレーティング システムに追加するよう求められていました。
その当時、IBM iの顧客は、最新にして最強の暗号化アルゴリズムを使用していなかったために、取引先からアクセスを拒否され、そのために、標準的なインターネット技術を使用してデータを交換する機能が失われることがありました。その時点では、IBM i 7.1はまだサポートされていましたが、IBM i 7.2もIBM i 7.3も、すでにリリースされていました。IBM i 7.1は(非常に長かった)ライフサイクルの終わりに近付いており、IBMとしては、そうした顧客にそのリリースに留まる理由をそれ以上与えたくなかったため、7.1にはそれらの新たな暗号化アルゴリズムの追加は行いませんでした。
けれども、IBMの現在のTLSサポートと2017年のTLSサポートとでは、大きな違いがあります。すなわち、IBM i 7.3は、今後しばらくの間使用されることが見込まれているということです(ただし、IBM i 7.2については今年4月末に営業活動が終了し、2021年4月末にメインストリーム サポートが終了します)。したがって、IBM i 7.3でTLS 1.3を稼働することは、IBMにとって最重要事項だったわけです。
また、IBMがIBM i 7.4で導入した新たなデジタル証明書マネージャー(DCM)インターフェースも、7.3に追加されました。Will氏によれば、DCMの新たなGUIインターフェースは、顧客の間で非常に好評だったということです。
「しかし、7.4でこの新たなインターフェースが知られるようになると、「これこそまさに望んでいたもの。私も複数のシステムを管理しているので、すぐにでも7.3で利用できるようにしてほしい」という声がすぐに上がりました」とWill氏は述べました。「新しいものの使い方を覚えるのに多少時間が掛かるというのなら、古い方を使用すればよいでしょう。しかし、このインターフェースは、かなり分かりやすいものになっています。有効期限が近い証明書を確認してすぐに対応できるようにする機能がありますが、この新たなインターフェースでは実に簡単に確認できます。ぜひとも試しに一度ご覧になってください。」