どういうところを見るのがよいのかな、と時々思うので。
やっぱり、NISTなんでしょうか。
Cryptographic Standards and Guidelines | CSRC
英語…と思って眺めていたのですが、IPAに翻訳文書もあるんですね。
セキュリティ関連NIST文書について | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
見るのは「SP800」と呼ばれる資料のようなのですが、SP800というのは
SP800シリーズは、CSDが発行するコンピュータセキュリティ関係のレポートです。米国の政府機関がセキュリティ対策を実施する際に利用することを前提としてまとめられた文書ですが、 内容的には、セキュリティマネジメント、リスクマネジメント、セキュリティ技術、セキュリティの対策状況を評価する指標、セキュリティ教育、インシデント対応など、セキュリティに関し、幅広く網羅しており、政府機関、民間企業を問わず、セキュリティ担当者にとって有益な文書です。
だそうです。
ちょっとメモしておきましょう。
TLSに関しては、IPAが公開しているガイドラインも良さそうですね。
TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
IANAのTLS Parametersも。
Transport Layer Security (TLS) Parameters
追記)
Mozillaが公開している推奨構成に関するページもあったので、別エントリーを書きました。
