世界的なサイバーセキュリティ攻撃の成層圏での増加は、一般的な暗号化とセキュリティのベスト プラクティスに従う必要性に光を当てています。 採用 裏返しの考え方 一つのことです。 それを実践することはまた別です。
これを支援するために、Cryptomathic のチームは、組織がジャーニーをすぐに開始できるように、より優れた暗号化キー管理への XNUMX つの重要な指針のリストをまとめました。
暗号鍵管理を改善するためのヒント
1. 本当に良いキーとインベントリ スキャンから始めます。 間違いなく、あなたができる最も重要なことは、組織が高品質のキーを使用していることを確認することです. 良いキーを使用しないと、意味がありません。 あなたはカードの家を建てています。
適切な鍵を作成するには、鍵がどこから来て、どのように生成されたかを知る必要があります。 ラップトップまたは電卓で作成しましたか、それとも、その作業専用に設計された専用ツールを使用しましたか? 彼らは十分なエントロピーを持っていますか? 生成から使用、保管に至るまで、キーはハードウェア セキュリティ モジュール (HSM) または同様のデバイスの安全な境界から決して離れてはなりません。
おそらく、あなたの組織はすでにキーと証明書を使用していますが、それらがどこにあるか知っていますか? それらにアクセスできるのは誰で、その理由は? それらはどこに保管されていますか? それらはどのように管理されていますか? 持っているもののインベントリを作成し、それらのキー、証明書、およびシークレットのクリーンアップと集中化ライフ サイクル管理の優先順位を付け始めます。
2. 環境全体のリスク プロファイル全体を分析します。 最も優れた、綿密で包括的なサイバーセキュリティ戦略を作成することはできますが、最終的には、組織内の全員が同意して遵守する場合にのみ成功します。 そのため、ビジネス全体の代表者からの意見を取り入れてリスク管理戦略を策定することが重要です。 プロセスを正直に保つために、最初からコンプライアンスとリスク担当者を含めます。 セキュリティ プロセスとプロトコルを意味のあるものにするためには、IT 担当者からビジネス ユニットまで、ユース ケースをもたらし、セキュリティ手順が必要な理由を同僚に説明できるすべての人を含める必要があります。
3. コンプライアンスを最終的な目的ではなく、結果とする。 これは直感に反するように聞こえるかもしれませんが、聞いてください。 コンプライアンスは非常に重要ですが、規制コンプライアンスを戦略の唯一の原動力として使用することには、固有のリスクがあります。 システムが規制チェックリストのボックスにチェックを入れるだけの設計になっていると、組織はより広範でより重要なポイント、つまりより優れたセキュリティのために設計および構築することを見落としています。
代わりに、規制とセキュリティ基準を最小限の要件セットのガイドラインとして使用し、その取り組みが実際に有効であることを確認してください。 今後のセキュリティとビジネスのニーズに対応. コンプライアンスが真の目的から気を散らすものにならないようにしてください。
4. セキュリティと使いやすさのバランスを取る。 セキュリティはユーザビリティにどのように影響しますか? ほとんどのユーザーにとって実用的ではないほど安全なシステムを作成しましたか? セキュリティとユーザー エクスペリエンスのバランスを見つけ、セキュリティ プロセスが人々の実際の作業を妨げないようにすることが不可欠です。 たとえば、多要素認証はアクセスをより安全にする優れた方法ですが、正しく実装されていないと、ワークフローが崩壊し、効率が急降下する可能性があります。
5. いつ専門家に電話すべきかを知っている専門家になる。 鍵の管理は重要な業務であり、そのように扱われるべきです。 組織内の誰かが、ツールとテクノロジーを十分に理解し、組織が行うすべてのことの中核にある優れたキー管理プラクティスを確立する必要があります。
同時に、組織で管理しなければならないキーが多すぎる場合など、専門家のサポートが必要な場合を認識することも同様に重要です。 米国国立標準技術研究所 (NIST) は、 巨大な文書 これは、優れたキー管理プラクティスを確立するために行うべきこととすべきでないことすべてについての推奨事項を示しています。 暗号化の専門家は、これらの推奨事項を深く掘り下げて、提供される暗号化ツールと鍵管理ソリューションがこれらの基準を満たしていることを確認します。 そうすることで、組織がキー管理プロセスに追加のサポートを必要とする場合に、オプションを評価し、資産を効果的に保護するために必要な専門知識を見つけるためのフレームワークが得られます。
