対象: 新Office365 Office 365 Enterprise, Office 365 Business, Office 365 Education
(この記事は 2014 年 10 月 29 日に Office Blogs に投稿された記事 Protecting you against the SSL 3.0 vulnerabilityの翻訳です。最新情報については、翻訳元の記事をご参照ください。)
28 日の記事 でもお伝えしたように、Office 365 においてセキュリティ機能にまつわる技術革新を推し進めることは最優先課題となっています。マイクロソフトでは、データ保護の重要性を深く認識すると共に、この課題に関する対応策について、これからも皆様に広く発信していきたいと考えています。こうした取り組みの一環として、本日は、セキュリティ アドバイザリ 3009008の詳細についてお知らせいたします。このアドバイザリでは、Secure Sockets Layer (SSL) 3.0 の脆弱性によって情報漏えいが発生するおそれがある問題について解説しています。これは、業界全体にかかわる脆弱性であり、プロトコルそのものに影響を及ぼすおそれがあります。マイクロソフトの製品実装に固有のものではありません。マイクロソフトではお客様へのさらなる保護対策として、今後数か月以内に、IE における SSL 3.0 へのフォールバックを無効化すると共に、IE およびマイクロソフトのオンライン サービス全般において既定で SSL 3.0 を無効化する予定です。
2014 年 12 月 1 日より、Office 365 では SSL 3.0 のサポートが無効になります。そのため、2014 年 12 月 1 日以降に Office 365 サービスに問題なく接続するためには、すべてのクライアントとブラウザーの組み合わせにおいて TLS 1.0 以上を使用する必要があります。これに伴い、クライアントとブラウザーの組み合わせによっては、更新が必要になる場合があります。
マイクロソフトのオンライン サービスへの接続状況を分析した結果、現在も SSL 3.0 の利用を継続しているお客様はごく少数であることが判明していますが、マイクロソフトでは今回の変更についてさらなる周知を図り、SSL 3.0 が無効化される前に該当クライアントを確実に更新していただけるよう努めてまいります。
お客様および管理者の皆様には、次に挙げるような対策を講じて、クライアントでの TLS 1.0 以上の使用を徹底していただきますよう、また、SSL 3.0 を事前に無効にしていただきますよう、よろしくお願いいたします。
- 個人のお客様は、Fix itをご利用いただけます。このツールは、サポートされているすべてのバージョンの IE に対応しており、ブラウザーで SSL 3.0 を無効化することで、今回の脆弱性からお客様を確実に保護します。
- 管理されたデスクトップ環境をご利用のお客様向けには、こちらの TechNet 記事で、環境内に SSL 3.0 で接続しているユーザーがいないかどうかを確認する方法をご説明しています。SSL 3.0 を使用しているユーザーが見つかった場合は、セキュリティ アドバイザリ 3009008で、グループ ポリシーを適用して設定を更新する方法をご確認ください。
- Azure をご利用のお客様は、Azure ブログでも詳細を公開していますので、ぜひご確認ください。
マイクロソフトのセキュリティへのアプローチについて、全般的な情報に関しては、Office 365 セキュリティ センターをご覧ください。