最終更新日3月 19, 2025

ポリシーNo.4204 暗号化手順

• 暗号化手順書のダウンロード

概要

この手順の目的は、暗号化の使用を、実質的な公的評価を受け、効果的に機能することが証明されているアルゴリズムに限定するガイダンスを提供することである。さらに、この手順は、連邦規制が遵守され、米国外での暗号化技術の普及と使用に法的権限が付与されることを確実にするための方向性を示すものである。

暗号鍵の管理は、適切に行われないと、機密データを保護するために使用される秘密鍵の漏洩や開示につながり、それによってデータが危険にさらされる可能性がある。ユーザは、特定の文書や電子通信を暗号化することの重要性は理解していても、暗号鍵を保護するための最低限の基準についてはよく知らないかもしれない。

目的

本手順書は、エンド・ユーザーの管理下にある暗号鍵を保護するための要件を概説する。これらの要件は、不正な開示およびその後の不正使用を防止するように設計されている。概説されている保護方法には、鍵のバックアップ手順、別個の鍵による暗号化、改ざん防止 ハードウェアの使用など、運用上および技術上の管理が含まれる。

スコープ

本手続は、以下に列挙される暗号鍵および暗号鍵の責任者に適用される。本手続きの対象となる暗号鍵は以下のとおりである：

• PCSDが発行する暗号鍵
• PCSD業務で使用する暗号鍵
• PCSDが所有するデータの保護に使用される暗号鍵

デジタル証明書に含まれる公開鍵は、特にこの手続きから除外される。

手続き

本手順の対象となるすべての暗号鍵は、不正な開示やその後の不正使用を防ぐために保護されなけれ ばならない。

シークレット・キー 暗号化キー

• 共通鍵暗号とも呼ばれる秘密鍵暗号に使用される鍵は、それを使用するすべての当事者に配布されるため、保護されなければならない。
• 配布中、対称暗号化鍵は、PCSD の許容暗号化手順で認可された最長の鍵長で、より強力なアルゴリズ ムを用いて暗号化されなければならない。
• もし鍵が最強のアルゴリズムのものであれば、鍵を分割し、それぞれの部分を異なる鍵で暗号化し、異なるメカニズムで伝送しなければならない。
• 対称暗号化鍵は、静止している場合、少なくとも配布に使用される対策と同程度に厳重なセ キュリティ対策で保護されなければならない。

公開鍵暗号化キー

• 公開鍵暗号、または非対称暗号は、公開鍵と秘密鍵のペアを使用する。
• 公開鍵はエンド・ユーザーに発行されるデジタル証明書に含まれ、秘密鍵は割り当てられたエンド・ユーザーのみが利用できる。

PCSDの公開鍵基盤（PKI）鍵

• PCSDのPKIで使用される公開鍵と秘密鍵のペアは、個々のエンドユーザーに発行される耐タンパー性のスマートカード上で生成される。
• デジタル署名に使用されるID証明書の秘密鍵は、スマートカードから離れることはない。
• 暗号化証明書の秘密鍵は、PCSDのポリシーに従って預託されなければならない。
• PCSD が発行するスマートカードに格納された秘密鍵へのアクセスは、カード保持者のみが知る PIN によって保護される。

その他の公開鍵暗号化キー

• その他の鍵は、エンドユーザーのコンピュータ上のソフトウェアで生成され、ハードドライブまたはハードウェア・トークンに保存される。
• スマート・カード上で生成された場合、PKI秘密鍵と同じ保護要件に従う。
• ソフトウェアで生成された場合、ユーザーは少なくとも1つのバックアップとエスクローコピーを作成し、安全に保管しなければならない。

商用または外部組織の公開鍵基盤（PKI）鍵

• ビジネス・パートナーと仕事をする際、エンド・ユーザーは、ハード・ドライブ上のソフトウェアで生成されたファイルに保存された公開鍵と秘密鍵のペアを使用することがある。
• 秘密鍵は、ユーザーが選んだパスワードの強度によってのみ保護される。
• 秘密鍵を保存するウェブ・ブラウザは、秘密鍵にアクセスするたびにパスワード入力を要求しなければならない。

PGPキーペア

• PGPの公開鍵と秘密鍵のペアは、コンピュータのハードドライブ上のキーリング・ファイルや、ハードウェア・トークン（USBドライブやスマートカードなど）に保存することができる。
• PGPは、秘密鍵を使うたびにパスフレーズの入力を要求するように設定しなければならない。

ハードウェア・トークン・ストレージ

• 暗号鍵を格納するハードウェアトークンは、PCSDの物理的セキュリティ手順に従い、機密機器として扱われる。
• トークン、スマートカード、USB トークンは、使用しないときはコンピュータに接続したままにしてはならない。
• 旅行中、ユーザーはハードウェアトークンをコンピュータとは別に保管しなければならない。

PIN、パスワード、パスフレーズ

• 暗号化鍵の保護に使用されるすべての PIN、パスワード、パスフレーズは、以下の複雑さと長さの要件を 満たさなければならない。 PCSDパスワード手順.

紛失と盗難

• 暗号化キーの紛失、盗難、または不正開示の可能性は、直ちに情報セキュリティチームに報告しなければならない。
• 情報セキュリティ担当者は、証明書の失効など必要な措置をユーザーに指導する。

キー・アグリーメントと認証

• 鍵交換は、以下の暗号プロトコルのいずれかを使用しなければならない：
  • ディフィー・ヘルマン
  • アイケイイー
  • 楕円曲線ディフィー・ヘルマン (ECDH)
• エンドポイントは鍵交換の前に認証されなければならない。
• 信頼を確立するために使用される公開鍵は、使用前に認証されなければならない。
• すべての認証サーバー（RADIUSやTACACSなど）は、信頼できるプロバイダーからの有効な証明書を使用しなければならない。
• SSLまたはTLSを使用するすべてのサーバーとアプリケーションは、信頼できるプロバイダーによって署名された証明書を持たなければならない。

定義と用語

以下の定義と用語は、以下の書籍に記載されている。 SANS用語集:

• 認証局（CA）
• デジタル証明書
• デジタル署名
• キー・エスクロー
• 平文
• 公開鍵暗号
• 公開鍵ペア
• 対称暗号

最終更新日

2015年1月更新

関連する方針と手続き

• 4204 技術利用
• 4204 受け入れ可能な使用
• 4204監査
• 4204 クリーンデスク
• 4204 災害復旧計画
• 4204 Eメール
• 4204 従業員セキュリティ意識向上研修
• 4204 暗号化
• 4204 パスワード
• 4204 リモートアクセス
• 4204 ルーターとスイッチのセキュリティ
• 4204 機密ワークステーションのセキュリティ
• 4204 セキュリティ対応計画
• 4204 サーバー・セキュリティ
• 4204 ソフトウェアのインストール
• 4204 ウェブサイト・サービス・セキュリティ
• 4204 無線機器通信
• 4204 ワイヤレス・インフラ通信