豪州策定の国際文書「暗号鍵及びシークレットの管理ー実践者向けガイダンス」に日本も共同署名

Managing cryptographic keys and secrets（ASD）より

　国家サイバー統括室（NOC）は8月26日、豪州通信情報局（ASD）豪州サイバーセキュリティセンター（ACSC）が策定した文書「暗号鍵及びシークレットの管理ー実践者向けガイダンス」の共同署名に加わり、文書を公表した。

　同文書は、暗号鍵およびシークレット（リソースへのアクセス権の取得や付与に使われる機密性の高いデータ）を取り扱う組織においてセキュリティを担当する組織およびその上級管理職を対象とし、脅威情報の把握、暗号鍵およびシークレットの管理を行う必要性を理解するための指針を提供するもの。このことはセキュア・バイ・デザインの基礎的要素の1つであり、その普及啓発はサイバーセキュリティを確保するうえで重要な要素となることから、共同署名に加わったと説明している。共同署名に加わった国は、豪州と日本のほか、英国、カナダ、ニュージーランドの5カ国。

　組織は脅威環境を包括的に理解する必要があり、自らが置かれた固有の環境とすべての暗号資産管理に対処するための強力な「KMP」（Key Management Plan：鍵管理計画）の構築が必要であると、同文書では提言している。KMPは、内外の脅威や侵害がどのように発生しうるか、潜在的な脅威を緩和し対応するために何ができるか、という文脈で準備されるべきだとしている。

　NOCが公表した概要によれば、同文書には「ガバナンス」「生成」「登録、保存、アクセス」「鍵の配布」「鍵の置き換えと破棄」「信頼の連鎖」「信頼される立場」「監督」の8点の留意事項があり、暗号鍵およびシークレットの生成や管理に関するアルゴリズムや管理のほか、組織全体における管理監督体制を説明している。