DigiCertが、現実の問題を解決するために、デジタルトラストの確立、管理、拡大をどのように支援しているかをご覧ください。
世界のIT・情報セキュリティリーダーたちが、デジタル技術の信頼性を欠いたセキュリティはセキュリティではないと考えている理由とは?
2023年8月15日よりCertCentralのサインインではユーザ名とパスワードのほかにワンタイムパスワード(OTP)もしくはクライアント証明書の二要素認証による提示が必要となりました。 設定等についてはこちらのKnowledgeを参照ください。
量子コンピュータの登場が近づくにつれ、暗号の専門家らがすでに知っていることが明らかになってきています。つまり、あらゆる場所で暗号化が行われるということです。現在のセキュリティ手法を実装するほぼすべてのものが、暗号と公開鍵インフラ(PKI)を採用してデジタルトラストを実現しています。
暗号の普及になぜ関心を抱くべきでしょうか。暗号に関連する量子コンピュータ(CRQC)が存在するからです。CRQC は、RSA や ECC など従来の非対称アルゴリズムにとって脅威となるほど強力な量子コンピュータです。
これは、耐量子コンピューター暗号(PQC)で対応できる脅威です。米国商務省標準化技術研究所(NIST)が 2023 年 8 月に公表した最初の PQC 規格案は、世界を耐量子の未来に一歩近づけるものでした。
PQC を採用するにあたって、組織はデジタルの資産 を特定する必要があります。これには、暗号化資産の目録を作成することが関係しています。このプロセスは、まず米国連邦政府機関で開始され、各政府機関は、2023 年 5 月までに最重要暗号システムの一覧を提出するように指示を受けました。しかし、多くの政府機関はこの期限を守るのに苦労したため、同年の 12 月まで非対称暗号の政府機関全体目録は完了しませんでした。
連邦政府の取り組みは、暗号化資産の目録の作成がいかに困難かを物語るものでした。これは組織が、存在すら知られていない資産を抱えている場合は特にそう言えます。ここでは、移行計画を始める助けとして、そのプロセスを 4 つのステップに分割しました。
量子コンピュータに対する世界の準備状況について、デジサートが Ponemon Institute と共同で行った調査によると、ほとんどの IT リーダーは、自社の準備が万全とはとうてい言えない状況にあると感じていました。暗号化資産を取り扱う組織に所属していて、PQC への移行を始めていない場合は、次の手順で取り掛かることができます。
最初のステップは、証明書、アルゴリズムをはじめとする暗号化資産の目録を作成し、重要度のレベルに基づいて優先順位を付けることです。量子コンピュータが実用化されたときでもシステムの安全性を確保できるように、ここからアップグレードや交換が必要なものを特定します。
目録の作成プロセス全体を通じて、以下の重要な質問に答える必要があります。
詳細な目録の作成は、これだけにとどまりません。次のような質問にも答える必要があります。
これらの質問に対する答えが「はい」の場合、各プロバイダが依存している環境を調べるためにそれらのプロバイダに連絡してください。たとえば、プロバイダが使用するソフトウェアパッケージ、プロバイダのバックエンドプロバイダなどについて調査します。
前述のとおり、これは複雑なプロセスです。しかし、それだからこそ今始めるべきなのです。量子コンピュータがシステムの脆弱性を明らかにし始めて(悪用し始めて)からでは遅すぎます。
暗号化アルゴリズムの切り替えは、長期的に信頼される必要がある署名を生成する暗号から着手してください。ルートオブトラスト、寿命の長いデバイスのファームウェアなどが考えられます。これは、ソフトウェアとデバイス、それらで使用される暗号の発行者について詳細な目録を作成する必要があることを意味しています。
なぜでしょうか。攻撃者は長期にわたる策を練ります。具体的には、「今収集し、後で解読」という監視戦略の一環として、暗号化されたデータが収集されます。量子コンピュータが実用化されると、サイバー犯罪者は収集されたデータを解読することになります。この戦略から保護するための唯一の確実な方法は、組織が長期的に依存する暗号に優先順位を付けることです。
NIST は現在も、新しい暗号安全アルゴリズムをセキュアに実装、テスト、デプロイする方法の標準化と文書化に取り組んでいます。しかし、暗号化ライブラリとセキュリティソフトウェアのメーカーは、製品にこれらのアルゴリズムを組み込む作業に今すぐ着手する必要があります。選定された PQC アルゴリズムに対応するためには、ある程度の労力が必要になります。そのため、これらのアルゴリズムを暗号化ライブラリに組み込む方法を探ることで、組織は先手を打つことができます。
これまでのステップは、簡単には実施できないタスクでした。しかし、量子コンピュータがアルゴリズムを解読し始めるときに、暗号化資産の目録作成の労力は報われます。これがいつ起こるか正確にはわかりませんが、確かなのは、これが「もし」ではなく「いつ」の問題であるということです。
目録の作成が終了したら、PQC への移行の次のフェーズとして暗号化の俊敏性を実現する必要があります。これには、資産の可視化、暗号化テクノロジーを実装する方法の確立、セキュリティの問題が発生する際に迅速に対応する能力の獲得が関係しています。
DigiCert®Trust Lifecycle Manager などのソリューションでは、検出、自動化、一元化された証明書管理といった機能を通じて、証明書インベントリを管理できます。また、システムのインフラに大きな中断をもたらすことなく、古い暗号化資産を置き換えることが可能です。
耐量子コンピューター暗号への移行は大仕事です。暗号化資産を特定および管理することにより、組織はセキュアで信頼できるデジタルの未来のための基盤を築くことができます。
耐量子コンピューター暗号、証明書管理、デジタルトラストなどのトピックについて詳しくお知りになりたい場合、記事を見逃さないようにデジサートのブログを参照してください。
© 2024 DigiCert, Inc. All rights reserved.
リーガルリポジトリ Webtrust 監査 利用条件 プライバシーポリシー アクセシビリティ Cookie 設定 プライバシーリクエストフォーム