質問・問題
AWSリソースとの通信で使用される暗号化アルゴリズム等を確認する方法はありますか。
回答・解決方法
AWS では業界標準を満たす暗号化アルゴリズムをサポートし、また新しい暗号化オプションを継続してデプロイしております[1]
利用可能なすべてのオプションではございませんが、ご確認いただいておりますドキュメントでアルゴリズムにて、ご案内可能なビット数を含めた情報を公開しております。[2]
大変恐縮でございますが、本ドキュメント以外でご案内できる情報はございませんこと、何卒ご了承いただければと存じます。
参考情報となりますが、以下のように nmap コマンドを利用することで利用可能な暗号アルゴリズムが確認可能でございましたので、確認されたい宛先に対してお客様側で実施いただくこともご検討いただければと存じます。
sudo nmap --script ssl-enum-ciphers -p 443 [宛先エンドポイント]コマンド実行例
~# sudo nmap --script ssl-enum-ciphers -p 443 ec2.ap-northeast-1.amazonaws.com
Starting Nmap 7.94SVN ( https://nmap.org ) at 2026-02-02 12:17 JST
Nmap scan report for ec2.ap-northeast-1.amazonaws.com (54.239.96.125)
Host is up (0.027s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
| TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
| compressors:
| NULL
| cipher preference: server
| TLSv1.3:
| ciphers:
| TLS_AKE_WITH_AES_128_GCM_SHA256 (secp256r1) - A
| TLS_AKE_WITH_AES_256_GCM_SHA384 (secp256r1) - A
| cipher preference: server
|_ least strength: A
Nmap done: 1 IP address (1 host up) scanned in 1.78 seconds
【参考記事】
[1] Cryptography algorithms and AWS services - About cryptographic algorithms
- https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/aws-cryptography-services.html#algorithms
[2] 暗号化アルゴリズムと AWS のサービス - 暗号アルゴリズム
- https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/encryption-best-practices/aws-cryptography-services.html#cryptographic-algorithms