見出し画像

J-STAGEがTLS設定ミスによる一時利用不可を謝罪、ただし推奨環境には触れず

J-STAGEにFirefoxからアクセスできない事件が発生してから2週間、平成30年12月28日付で「一部ブラウザからの利用不可について(お詫び)」が発表された。

セキュリティ強化のため、2018年12月12日14時にTLS1.2への切替とTLS1.0/1.1の無効化を行いましたが、JSTのTLS規格に対する理解不足のため、一部のWebブラウザを使用してJ-STAGEを利用することができない状態になりました。
この問題につきまして多数のお問い合わせを受けまして、13日の15時半に利用可能になるように対応いたしました。
利用者の方々にはご迷惑をおかけいたしましたことをお詫び申し上げます。
今後は利用者の皆様にご迷惑をかけることがないよう、設定変更にあたり細心の注意をはらうようにいたします。何卒ご容赦のほどお願い申し上げます。

前回の拙稿「J-STAGEがFirefoxでのアクセスを遮断、日本の電子ジャーナルが世界から不可視となった日」で指摘したTLS 1.2準拠違反を大筋で認める内容とみて良さそうだ。

改めてSSL Server Testでチェックしたところ、TLS1.2(RFC5246)の必須暗号スイートである"TLS_RSA_WITH_AES_128_CBC_SHA"への対応が追加されていた。12月13日夕方と12月22日夕方に確認した際は対応していなかったと思うが、いつ追加したのだろうか?

ちなみに、TLS 1.0(RFC2246)/1.1(RFC4346)の必須暗号スイートはまた別にあるのだが、比較的脆弱な暗号アルゴリズム3DESを含むため忌避される傾向にあり、IPAのSSL/TLS暗号設定ガイドライン 第2.0版では(対応せずとも)「事実上問題がない」とされているので、目くじらを立てることもないだろう。

さて、一応はFirefoxからのアクセスは復旧し、TLS準拠違反も解消され、Firefoxの名誉も曲がりなりに回復された訳だが、これは前回指摘した内容の半分に過ぎない。残った問題についてJ-STAGEに問い合わせて得られた回答を元に述べる。

過失ではなく故意だった

Q. いつの時点でFirefoxからJ-STAGEにアクセス不能となったことを把握したか
A. 暗号スイートの変更による影響は事前に把握していました。
その上で実施してしまったのはTLS規格に対する理解不足が原因でした。

暗号スイートの設定変更により、Firefoxによるアクセスが遮断されてしまうことは事前にわかっていたようだ。この口ぶりからするに、Firefoxの方こそがTLS規格に準拠していないと信じて疑わずに変更を強行したのだろう。

それならそれで「TLS 1.2に準拠したブラウザをお使いください」とアナウンスすれば良かったものを、「推奨環境に記載されたOS、ブラウザをご利用ください」と数年前のOSとブラウザの組み合わせを指定していたのが次の問題だ。

推奨環境の問題

Q. EdgeやFirefoxがJ-STAGEの推奨環境に含まれていないのはなぜか
A. EdgeやFirefoxでは動作確認をしていないためです。
Q. J-STAGEの推奨環境が古いOSと古いブラウザの組み合わせに限定されているのはなぜか
A. 当該ページは推奨環境ではなく動作確認を行ったブラウザの方が適切ですので表記を見直します。
Q. 古いバージョンを利用者に強制することはJSTの情報セキュリティポリシーに抵触しないのか
A. 特定のバージョンのみを強制した場合は抵触いたしますが、当該ページに特定のバージョンを強制する意図はございませんので表記を見直します。

推奨環境の表記、見直すってよ。

「推奨環境」と「動作確認環境」を区別した結果、EdgeやFirefoxがどういった扱いになるのかは判然としない。そもそもブラウザを限定する意味はあるのだろうか。仮にブラウザを限定するとして、シェア何%で足切りするべきだろうか。

例えば総務省のWeb系システムでは「推奨環境とは、総務省において動作を確認した環境であり、お問い合わせへの対応が可能な環境です。」と断り書きしており、この二つを区別しない。

推奨環境の理想形とはどのようなものか。これは私一人で語るには荷の重いテーマなので、Web界隈のお歴々のご意見を伺いたいところである。

J-STAGE以外のWebサーバの問題

前回、J-STAGEだけでなくJSTのWebサーバもTLS 1.2の必須暗号スイートに対応していないことを指摘したが、こちらは今現在も改善されていない。

一応Firefoxは代替の暗号スイートでアクセスできるようだが、curlなどのダウンロードツールやWebクロールbot、ヘッドレスブラウザの一部などでアクセスできないケースが発生しているかもしれない。

この件も先の質問のついでに尋ねたところ、次のような回答であった。

A. J-STAGE以外のWEBサーバについては回答を控えさせていただきます。
A. 今回の件は主な関係部署にも共有しており、問題があれば改善に努めたいと思います。

受注業者について

本件に関して、一部で「平成30年度 科学技術情報発信・流通総合システム システム運用・アプリケーション保守業務」を受注した業者の名前が挙がっている。冤罪になるといけないので受注業者名を尋ねてみたが、回答はもらえなかった。

Q. 12月12日にJ-STAGEのメンテナンス作業を行ったのはどこの業者あるいは部署か
A. J−STAGE担当部署の依頼に基づき実施されたもので、詳細は差し控えさせていただきます。

調達情報の詳細を確認したところ、当該業務はJ-STAGEのヘルプデスクやアプリケーション開発といった上層部分であり、Webサーバなどの基盤システム開発運用とは別区分になるようだ。

これ以上は実行犯捜しをしてもあまり意味はないので、今後の改善に期待したい。