詳細情報:
Web アプリケーション設定: SAML メッセージの署名アルゴリズム - SHA256 制御の選択
このセキュリティ設定では、SAML アサーションのデジタル署名を生成するために Secure Hash Algorithm 256 ビットバリエーションを使用することを指定します。
コントロール名
接続アプリケーション: Web アプリケーション設定: SAML メッセージの署名アルゴリズム - SHA256 を選択
推奨設定
SAML メッセージの署名アルゴリズム - [SHA256] を選択します。
制御の概要
このセキュリティ設定では、SAML アサーションのデジタル署名を生成するために Secure Hash Algorithm 256 ビットバリエーションを使用するように指定し、ID 交換の整合性と信頼性を確保します。
設定されていない場合のセキュリティリスク
SAML メッセージに弱い署名アルゴリズムを使用しないか使用すると、証明書偽造の脆弱性が発生し、プロバイダーとアプリケーション間で確立された ID Trust がバイパスされます。
脅威のシナリオ
攻撃者は、SHA-1 などの従来のアルゴリズムの既知の衝突の脆弱性を利用して、有効なデジタル署名を偽造し、未承認の管理要求を認証フローに挿入できるようにします。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
最新のハッシュ標準を使用しないと、アサーション操作と ID スプーフィングが成功し、統合アクセス管理システムが完全に侵害される可能性があります。
より高いリスク
サービスプロバイダーが署名の有効期限を適用しない場合、または署名に使用される非公開鍵がハードウェアベースの保護なしでソフトウェアベースのリポジトリに保存されている場合。
低リスク
組織がすでに存続期間の短い SAML アサーションの使用を義務付け、統合ログイン試行ごとに多要素認証を適用している場合。
ビジネスと統合に関する考慮事項
SHA-256 に移行すると、最新の業界セキュリティ標準への準拠が保証されますが、受信側サービスプロバイダーが 256 ビット暗号ハッシュを処理できることを確認する必要があります。
推奨される修復
設定を保存する前に、[接続アプリケーションの Web アプリケーション設定] に移動し、[署名アルゴリズム] 項目を更新して [SHA256] を選択します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
Security Health Review では、SHA-256 署名の適用が、暗号攻撃を防止し、すべての ID アサーションが不正な変更に対して耐性を保持できるようにするために強く推奨される標準であることが示されています。
