マジセミドライブ

ウェビナー関連のニュースやITサービス&ツールの最新情報を随時配信します。

OSS情報

2020.01.01

【OSS情報アーカイブ】OpenSSL

【OSS情報アーカイブ】OpenSSL

※当記事に記載されている情報は、古くなっている場合があります。オフィシャルサイトで最新情報をご確認ください。

「OpenSSL」とは

基本情報

概要

OpenSSL(オープンエスエスエル)とは、オープンソースSSL/TLS暗号化ライブラリです。世界中のWebサイトで圧倒的シェアを持っており、事実上の業界標準となっています。

「SSL」とは

SSL(Secure Sockets Layer)とは、インターネット上で通信を暗号化する技術です。安全な接続を行う場合に有効な仕組みです。第三者によるデータ盗聴/改ざんなどを防ぐことができます。

公開鍵を使った安全な通信路をつくるための基盤を「PKI(Public Key Infrastructure)」といいます。SSLもPKIの中の1つの暗号化通信プロトコルです。

SSLは、主に2つの機能を提供します。「信頼性担保」と「暗号化による安全性の担保」です。

URLに「https」のように「s」が付いて表示されている場合、SSLで接続されている(安全度が高い)サイトとなります。

基本説明

OpenSSLは、暗号化プロトコル「SSL」を利用するために必要な機能を提供する暗号化ライブラリです。

コアとなるライブラリ(C言語実装)は、基本的な暗号化関数/さまざまなユーティリティ関数を実装しています。SSLライブラリ、暗号化ライブラリ、コマンドラインツールで構成されています。

各種プログラミング言語/OSに対応しています。各種プログラミング言語用にOpenSSLライブラリを利用できるようにするためのラッパーも用意されています。

さまざまなソフトウェアに暗号通信機能を組み込む手段として、世界レベルで幅広く利用されています。

セキュリティの根幹を支えるソフトウェアなのですが、セキュリティホールが多く、大きな脆弱性問題を多数引き起こしています。

経緯

OpenSSLは、オーストラリアの「Eric A. Young」と「Tim J. Hudson」による「SSLeay」というソフトウェアを基にしています。その後、ボランティア組織「OpenSSL Project」によって「OpenSSL」となりました。

最初にリリースされたのは1998年で、その後、Google、Amazon、Facebookといった企業が使い始め、世界中のWebサーバに普及していきました。

2006年、アメリカ国立標準技術研究所(NIST)に承認された初めての暗号ソフトウェアとなりました。

OpenSSLで起きた主な脆弱性

2006年「Debianの弱い鍵」問題
擬似乱数生成器が正しく動作しなくなり、生成される暗号鍵が予測可能なものとなってしまった脆弱性です。

2014年「Heartbleed」問題
サーバ側メモリを読むことで、機密情報にアクセスが可能となる脆弱性でした。この脆弱性が2年間気付かれずに放置されていたため、OpenSSL史上、最悪な事件となりました。

2014年「CCS Injection Vulnerability」問題
過去のOpenSSLのほとんどのバージョンが該当し、「一時的な暗号鍵が、第三者でも予想できてしまう」という脆弱性でした。

2016年「DROWN攻撃」問題
「新しいプロトコルであるTLSを使ったクライアントとサーバ間の接続を復号化できる」という脆弱性でした。

「OpenSSL」フォーク製品

OpenSSLの「Heartbleed」事件を受け、OpenSSLから「LibreSSL」がフォークされました。コードを一新してセキュリティと安定性を改善することを目指しています。

Googleは、OpenSSLから「BoringSSL」をフォークさせました。OpenSSL、LibreSSL双方の開発者と協力していくとしています。

主な機能

ポイント

・BIOによるI/Oの抽象化
・コマンドラインインターフェイス
・豊富な暗号方式 (暗号スイート一覧)
・マルチスレッド対応
・Re-Negotiation

同様製品(概要情報)

同様な機能を提供する製品として、次のようなものがあります。

オープンソース製品:「LibreSSL」「BoringSSL」「GnuTLS」など。

導入事例

SSL技術を支えるデファクトスタンダードとして、世界規模で圧倒的シェアがあります。

ライセンス情報

OpenSSLのライセンスは、「Apache License 1.0」「四条項BSDライセンス形式」のデュアルライセンスです。このライセンスに従うことを条件として、ソースコードの改変と公開が許可されています。

ダウンロード

ダウンロードページ

※定期的にメンテナンスを実施しておりますが、一部情報が古い場合がございます。ご了承ください。

この記事のタグ一覧

おすすめの記事

【デジタル寺田の3分用語解説】 ガートナーが発表した「2025年の戦略的テクノロジの トップ トレンド 」とは?🌟

デジタル寺田の3分用語解説

2024.12.02

【デジタル寺田の3分用語解説】 ガートナーが発表した「2025年の戦略的テクノロジの トップ トレンド 」とは?🌟

ガートナーが発表した「2025年の戦略的テクノロジー トレンド 」には、自律的意思決定を行う「エージェント型AI」「AIガバナンス・プラットフォーム」「偽情報拡散防止技術」「次世代コンピューティング技術」が含まれます。これらは仕事や生活に深く影響し、企業競争力向上のカギとなると予測されています。

【デジタル寺田の3分用語解説】 「 OTセキュリティ 」とは?〜ITセキュリティ との違い〜🔑

デジタル寺田の3分用語解説

2024.12.02

【デジタル寺田の3分用語解説】 「 OTセキュリティ 」とは?〜ITセキュリティ との違い〜🔑

「 OTセキュリティ 」は、工場や発電所の産業用制御システムを守るためのセキュリティで、安全性が重視されます。ITシステムとの接続増加により脅威が高まり、「運用停止の難しさ」や「管理部門間の連携不足」が課題です。サイバー攻撃の増加に伴い、対策の強化が急務となっています。

【デジタル寺田の3分用語解説】 「 103万の壁 」(年収の壁)とは?🧱

デジタル寺田の3分用語解説

2024.12.02

【デジタル寺田の3分用語解説】 「 103万の壁 」(年収の壁)とは?🧱

「 103万の壁 」とは、給与収入が年間103万円を超えると、所得税が課税される「年収ライン」を指します。このラインを超えると手取り収入が減少するため、多くの人が働き方を調整します。住民税や扶養控除外れも家計負担に影響します。他にも、厚生年金などの負担が発生する「壁」が存在し、制度の見直しが議論されています。