NRIセキュアテクノロジーズは7月15日、企業が自社の情報資産などの保護に必要な暗号鍵を対象として、設計・運用段階のセキュリティレベルを評価し、必要な対策の立案・実行を支援する「暗号鍵の設計・運用に関する評価支援サービスの提供を開始すると発表した。

暗号鍵は、データを暗号化する際や復号する際に必要とされている。近年、デジタルトランスフォーメーションが進展するにつれて、暗号鍵は情報を秘匿する目的以外にも、電子署名や本人認証などで幅広く利用されるようになってきており、暗号鍵の取り扱いにおいては、これまで以上にセキュリティの強化が求められているという。

同サービスの流れは、まず同社が作成した評価シートを基に、対象となるシステム全体に関するヒアリングを行い、評価の対象範囲と項目を決定する。対象システムの特性などを加味しながら、必要に応じて評価項目のカスタマイズも可能だという。

次に、評価対象とするシステムに関する、サービス仕様書、要件定義書、設計・開発資料、運用ルール・手順書などを参照し、現状どのようなセキュリティ対策が実施されているかについて、机上分析を行う。

机上分析の結果を踏まえ、詳細についてシステムの担当者などにヒアリングを実施し、物理的な施設など、目視による確認が必要な場合については、現地調査を行うという。

最後に、机上分析、ヒアリング、現地調査などの結果を踏まえ、対策状況とリスクを評価を行う。同サービスでは、暗号鍵のライフサイクル全体を評価するために、「システム全体設計」「鍵生成」「鍵配送・輸送」「鍵導入」「鍵利用」「鍵保管・廃棄」「機器運用管理」「物理セキュリティ」の8つに分かれた、計約230の評価項目が設けられている。

評価の結果は、実施すべきセキュリティ対策案とともに、「鍵管理設計・運用評価結果シート」「評価結果サマリ」の2つの文書で報告が行われる。

「鍵管理設計・運用評価結果シート」は、評価項目ごとに、現在の対策状況と内在するリスクを5段階で判定したシート。評価結果の詳細のほか、追加の対策が必要な項目については対策案も提示する。

一方で「評価結果サマリ」は、評価項目の中から判明したリスクを集計し、一覧表にまとめたもの。暗号鍵のライフサイクルを踏まえて、セキュリティレベルを可視化する。

  • 評価結果サマリ(カテゴリごとのリスク評価)の例

  • 評価結果サマリ(カテゴリごとの推奨対策)の例

同社は今後、自動車や工場をはじめとしたさまざまな業界に対して暗号鍵の設計や運用面における安全性の向上を支援する方針だ。