NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、社長:小田島 潤、以下「NRIセキュア」)は、企業が自社の情報資産などの保護に不可欠な暗号鍵を対象として、設計・運用段階のセキュリティレベルを評価し、必要な対策の立案・実行を支援する「暗号鍵の設計・運用に関する評価支援サービス(以下「本サービス」)」を、本日から提供します。
さまざまな情報がネットワークを介してやりとりされる現在、第三者に盗まれたり改ざんされたりしないよう、機密情報をはじめとしたあらゆるデータを暗号化して受け渡すことが推奨されています。暗号化する際や暗号化されたデータを元に戻す(復号する)際に、必要となるのが「暗号鍵」です。
例えば、PCI P2PE[i]準拠の決済端末の中には暗号鍵が格納されていて、決済センターとの間で、クレジットカード情報や取引情報を暗号化する際に使われています。また、ITを活用してビジネス革新を図るデジタルトランスフォーメーション(DX)が進展するに伴って、暗号鍵は情報を秘匿する目的以外にも、電子署名や本人認証などで幅広く利用されるようになってきました。このため、暗号鍵の取り扱いにおいては、これまで以上にセキュリティの強化が求められています。
-
本サービスの概要と特長
本サービスでは、企業が暗号鍵を設計し運用する際の安全性を高めるために、暗号鍵の生成から輸送、導入、廃棄に至るまでのライフサイクル全体を対象として、NRIセキュアの専門家が評価を行います。
本サービスは、おもに以下の4つの内容から構成されます。
1.現状調査・評価対象の決定
NRIセキュアが作成した評価シートをベースに、対象となるシステム全体に関するヒアリングを行い、評価の対象範囲と項目を決定します。対象システムの特性等を加味しながら、必要に応じて評価項目のカスタマイズも可能です。
2.机上分析
評価対象とするシステムに関する、サービス仕様書、要件定義書、設計・開発資料、運用ルール・手順書などを参照し、現状どのようなセキュリティ対策が実施されているかについて、机上分析を行います。
3.ヒアリング・現地調査
机上分析の結果を踏まえ、詳細についてシステムの担当者などにヒアリングを実施します。物理的な施設など、目視による確認が必要な場合については、現地調査を行います。
4.評価・報告
机上分析、ヒアリング、現地調査などの結果を踏まえ、対策状況とリスクを評価します。本サービスでは、暗号鍵のライフサイクル全体を評価するために、「システム全体設計」「鍵生成」「鍵配送・輸送」「鍵導入」「鍵利用」「鍵保管・廃棄」「機器運用管理」「物理セキュリティ」の8つに分かれた、計約230の評価項目を設けています。評価の結果は、実施すべきセキュリティ対策案とともに、次の2つの文書にまとめて報告します。
鍵管理設計・運用評価結果シート
評価項目ごとに、現在の対策状況と内在するリスクを5段階で判定したシートです。評価結果の詳細のほか、追加の対策が必要な項目については対策案も提示します。
評価結果サマリ
評価項目の中から判明したリスクを集計し、一覧表にまとめたものです。暗号鍵のライフサイクルを踏まえて、セキュリティレベルを一目で確認することができます(表1、2)。
表1:「評価結果サマリ(カテゴリごとのリスク評価)」の例
表2:「評価結果サマリ(カテゴリごとの推奨対策)」の例
本サービスの詳細については、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/consulting/cryptographic-key
NRIセキュアは、2016年に国内で初めて、カード業界において要求される高度なセキュリティレベル基準「PCI P2PE」への適合性を審査する資格「P2PE QSA」[ⅱ]を取得しました。また、暗号鍵の設計・運用に関するコンサルティングや監査で豊富な実績を有しています。さらに、ブロックチェーン技術を活用したシステムのアーキテクチャを評価するサービスの一環として、ウォレット[ⅲ]の鍵管理のセキュリティ評価なども支援してきました。
今後、自動車や工場をはじめとして、さまざまなモノとモノがネットワークでつながり、その通信内容の改ざん防止や認証のために、暗号化技術が一層活用されていくと考えられます。NRIセキュアは、本サービスを通じて、さまざまな業界に対して暗号鍵の設計や運用面における安全性の向上を支援し、安全・安心なDXの推進に貢献していきます。
[i] PCI P2PE(Payment Card Industry Point-to-Point Encryption):
対面加盟店の決済端末から決済ネットワークの手前までを対象に、クレジットカード情報を暗号化した状態で安全に処理するための、国際的な情報セキュリティ基準。国際クレジットカードブランド5社(VISA、Mastercard、JCB、American Express、Discover)が設立した有限責任会社PCI SSCにより制定、運用、管理されている。
[ⅱ] P2PE QSA(Point-to-Point Encryption Qualified Security Assessor):
世の中の決済ソリューションが、PCI P2PEを満たしているかどうかについて審査を行う、PCI SSC認定の評価機関のこと。
[ⅲ] ウォレット:
ブロックチェーン技術を利用して取引される暗号資産を、管理するために使用されるシステムのこと。