1) SSL/TLSの20年を振り返る ～ダウングレード攻撃からHeartbleedまでの脆弱性を中心に～

講演者：
秋山 卓司(クロストラスト株式会社)
木村 泰司(一般社団法人日本ネットワークインフォメーションセンター)

インターネットにおける通信経路の秘密と本人確認のためのプロトコルであるSSL/TLSは、 必然的に攻撃対象となりやすく、 過去に多くの脆弱性が指摘され、 またそれらの脆弱性に対応するために仕様と実装の修正が繰り返されてきました。 まさにSSL/TLSの歴史は、 脆弱性との戦いの歴史と言っても過言ではありません。 本セッションでは、 古くはダウングレード攻撃から本年話題となったHeartbleed脆弱性まで、 これまでに公開された主な脆弱性について解説しつつ、 今年丁度20年目を迎えるSSL/TLSの歴史を振り返ります。

2) サーバの正しいSSL/TLS設定のツボ

講演者：漆嶌 賢二(富士ゼロックス株式会社)

近年、 さまざまなSSL/TLSに関連した脆弱性や攻撃が発表されていますが、 SSL/TLSの設定をデフォルトのままで使っているサーバ管理者の方も多いのではないかと思います。 サーバ、ウェブブラウザ、携帯電話、 組込み機器、OS、OpenSSL、Java、 SSLアクセラレータ、SSL-VPN、 古い環境のサポートなど によって推奨設定はざまざまです。 本講演では、 最近起きた代表的な脆弱性を振り返りながら、 どのような観点でサーバのSSL/TLS設定をすれば良いのか、 暗号スイートやプロトコルや証明書はどうすればいいか、 ウェブブラウザの利用者にはどのように案内する必要があるか、 ポイントや、ケース毎の推奨設定について解説します。

3) SSL/TLSで使われる暗号技術のキモチ

講演者：菅野 哲(NTTソフトウェア株式会社)

SSL/TLSを実現するためにさまざまな暗号技術が利用されています。 SSL/TLSのサーバ管理者として、共通鍵暗号、 公開鍵暗号、暗号利用モードやハッシュ関数などという技術名を見聞きすることが多いと思います。 このような個々の暗号技術の特長を知るだけでもSSL/TLSを理解するのに役立つと思います。 本講演では、SSL/TLSを実現するために利用される各技術の基本的な特長を踏まえつつ、 それらの技術を選択する際にどのようなところを気をつければ良いのかという気持ちをお話したいと思います。

4) SSL/TLSとの付き合い方(パネルディスカッション)

パネリスト： 秋山 卓司、漆嶌 賢二、菅野 哲、木村 泰司

サイト管理者が押さえておくべきSSL/TLSとの付き合い方、 パネリストが最近気になっているSSL関連のトピック、 ツール、サイトの紹介や、 2014年4月に発生したHeartbleed脆弱性を受けて、 OpenSSLを母体として同時多発的に派生したSSL/TLSライブラリの代替可能性、 そして今後の行方についてディスカッションします。