EN

  • 検索フィールドが空なので、候補はありません。

メールマガジン登録
お役立ち資料
TOP
SERVICE & SOLUTION
CASE STUDY
SEMINAR
BLOG
NEWS
COMPANY
RECRUIT
セキュリティ用語解説
お問い合わせ
SERVICE & SOLUTION
セキュリティ用語解説
COMPANY
consulting-hero-bg

暗号鍵の設計・運用に関する評価支援サービス

最新のセキュリティ動向を踏まえた企業の暗号鍵管理の強化を包括的に支援

お問い合わせ

こんな課題ありませんか?

暗号鍵管理に関する外部のセキュリティフレームワークやガイドラインを参照したが、自社のシステム設計や運用に適用する具体策や実施範囲が分からない。

自社のセキュリティレベルや外部基準への対応度、同業他社との比較ができず、対策の十分性を社内外に説明しづらい。

技術動向(耐量子暗号やCrypto Agilityなど)や規制動向(経済安保やFIPS140など)を踏まえた中長期的な暗号鍵管理の設計・運用が検討できていない。

cryptographic-key

暗号鍵の設計・運用に関する評価支援サービスは、暗号鍵を取り扱うシステムに対して、鍵のライフサイクル全体を評価するサービスです。

本サービスは、データ保護、電子署名、認証などで暗号鍵を扱うシステムに対し、包括的なセキュリティ評価・支援を提供します。暗号アルゴリズムや鍵利用期間の設計、鍵の生成・輸送・導入・利用・保管・廃棄に至るライフサイクル管理、関連機器の管理や施設セキュリティ、鍵漏洩時の鍵廃棄・交換や暗号アルゴリズムの危殆化対応まで、一貫した評価・対策支援を実施します。
reason-image

お客様に選ばれる理由

1

鍵管理に関するセキュリティ強化支援の豊富な実績

NRIセキュアはこれまで、決済関連事業者向けに、PCI P2PEPIN SecurityTSPCPといった暗号鍵管理に関する高度なセキュリティ要件への対応が求められる基準へのコンサルティング/準拠審査を支援してきました。

また、金融機関向けには、ブロックチェーンを活用したweb3システムにおける鍵管理を中心としたアーキテクチャ評価支援を、製造業向けには製造工場の施設セキュリティの観点も含めた暗号鍵管理の評価支援など、業種や分野を問わず数多くの支援実績を有しています。

2

対象システムに最適化した評価支援

NRIセキュアが鍵管理に関するコンサルティングで培ったノウハウと、国内外のセキュリティ対策基準やベストプラクティスに精通したセキュリティコンサルタントの知見を活かし、独自の評価項目を基盤として、対象システムの特性や運用方法を考慮した最適な評価項目と評価手法を策定します。

評価の結果、追加の対策が必要な項目については、お客様固有のシステム環境やセキュリティ事情を踏まえ、実現可能な方針案をご提示いたします。

3

最新の技術動向や規制動向に関する知見

NRIセキュアでは、耐量子暗号(PQC)アルゴリズムやCrypto Agilityの最新動向、クラウド環境における鍵管理方式(BYOKHYOKBYOE)、および経済安全保障関連法をはじめとする各種規制の動向について、技術・制度の両面から継続的に調査・情報収集を行っています。

これらの知見をもとに、お客様のシステム環境やビジネス要件を踏まえ、中長期的な視点であるべき鍵管理の姿を評価し、具体的な対策をご提言することが可能です。

 

暗号鍵に関連する主な弊社支援実績
(評価支援以外のアドバイザリ支援や調査支援を含む)

提供先 支援実績
モビリティ技術メーカー様  暗号鍵に関する社内のセキュリティ要件について、業界標準の鍵管理ガイドラインに沿っているか対応状況を網羅的に確認するため、弊社独自の評価シートの項目をカスタマイズし、評価を実施。評価後、不足している項目の特定とともに、セキュリティ要領の改定支援を実施。
 産業機械メーカー様  EUサイバーレジリエンス法(CRA)を含む欧州のセキュリティ法規への対応を念頭に置いた鍵管理システムの新規構築を計画されているお客様に対し、当該システムの評価支援を要件定義フェーズから実施。
 暗号資産取引所様  暗号資産のウォレットシステムに対し、ホットウォレットおよびコールドウォレットの両方の観点から鍵管理を中心としたアーキテクチャ評価を実施。机上評価やヒアリングに加え、鍵管理における施設セキュリティ面の現地調査も実地。
 金融機関様  ブロックチェーンを活用する新規サービス構築に対し、鍵管理を中心としたアーキテクチャ評価を実施。机上評価に加え、3rd partyベンダーを対象としたインタビューも実施。責任分界の観点含めたサービス全体のリスク評価を実施。
 金融機関様  ブロックチェーンを活用する新規サービス構築を3rd partyベンダーに依頼するにあたり、自社グループの既存セキュリティ基準の遵守に加え、鍵管理を中心としたブロックチェーン特有のセキュリティリスクにも対応できるようにアドバイザリ支援を実施。
 電機メーカー様  暗号鍵管理に関する特定業界のセキュリティ規制と、それを踏まえた将来的な動向の調査・分析を実施。
 決済サービス事業者様  新規サービスの構想策定において、暗号方式の選定やシステム全体のアーキテクチャのセキュリティアドバイザリ支援を実施。
 官公庁様  オンプレ方式やクラウドネイティブな鍵管理方式(BYOK/HYOK/BYOE等)に関し、セキュリティ観点からそれぞれの特徴や導入アプローチ、実績等の調査支援を実施。
 独立行政法人様  国内における暗号鍵管理の現状調査と、耐量子暗号やCrypto Agilityなどの最新動向の調査に関わる支援を実施。

 

サービスの流れ

評価は、「概要把握・評価項目の設定」「机上評価」「ヒアリング・現地調査」「報告」のプロセスから構成されます。

  1. STEP

    1

    計画

    ・支援の進め方の計画と説明。
    ・対象システムのサービス概要、設計概要の把握。

  2. STEP

    2

    準備

    ・評価項目の設定と説明。
     ※鍵管理における弊社ノウハウを元に作成した評価項目に対し、お客様システムの特徴・特性等を加味した項目のカスタマイズも可能
    ・対象システムの設計・運用に関する資料をお客様にてご準備。

  3. STEP

    3

    評価

    ・評価項目に対してお客様にて一次回答を記入。
    ・一次回答の内容と、対象システムに関わる各種資料を確認し、机上評価を実施。
    ・机上評価だけでは把握できない内容を中心にヒアリングを実施。
    ・現地で目視確認が必要なものについては現地調査を実施。

    (現地調査の例:鍵管理に関する機器の管理、バックアップ鍵等の金庫保管状況、入退室/監視カメラやセキュリティルームの構造などの施設セキュリティ、鍵生成/導入/利用/保管/廃棄時の運用デモンストレーション、等の確認)

  4. STEP

    4

    報告

    ・机上評価、ヒアリング、現地調査を踏まえ、セキュリティ対策状況を分析。
    ・評価結果と対策案をご報告。
    ・評価結果と対策案に対するご質問やご相談の対応を実施

料金

個別見積り

対応の期間・ご支援内容などにより、お見積りが変動いたします。

その他、ご要望に応じて個別メニューも承りますので、詳細は以下よりお気軽にお問い合わせください。

よくある質問

Q. 本評価支援サービスの実施により、どのような改善事項が検出できますか?
A.

お客様のシステムの特性や運用環境によってリスクは多岐にわたるため一概には言えませんが、これまでに鍵管理の設計・運用について外部の専門機関による評価を一度も受けたことのない企業では、多くの課題が検出される傾向にあります。

また、一定のセキュリティ態勢を整えている企業であっても、クリプトインベントリ(暗号鍵・証明書台帳)に未登録の鍵や証明書の存在、バックアップ鍵の不適切な保管、鍵ライフサイクル管理における機密性への配慮不足、鍵漏洩時の対応手順の未整備など、見落とされがちな問題が判明するケースも少なくありません。

特にクリプトインベントリは、PQC移行において最初に着手すべき重要な取り組みの一つであることから、早期に点検・見直しを行うことが強く推奨されているものとなります。
Q. 支援期間はどのくらいですか?
A.

3か月前後で実施されるケースが多いですが、サービスの規模や支援内容にもよるため、別途のお見積りとなります。

支援内容とお客様の希望に応じて、適切な支援期間をご提案します。
Q. どのフェーズでの評価支援が最適ですか?
A.

管理一覧や鍵フロー図など、鍵管理システムの設計概要を把握できる資料があることが望ましいですが、要件定義フェーズでの支援実績もございます。お客様のご要望に応じて、最適な評価アプローチをご提案いたします。
Q. 評価項目のカスタマイズは可能ですか?
A.

弊社独自の知見やノウハウを元に作成した弊社独自の評価項目もございますが、お客様のご要望に応じて、評価項目をカスタマイズすることも可能です。例えば、特定の外部基準やフレームワーク、ガイドラインへの対応状況を網羅的に可視化することを目的に評価項目をカスタマイズするといったことも可能です。