同機関は、PQC移行に関する推奨事項を、その代表的なセキュリティ出版物のアドバイスにマッピングした文書を公開しました。
この音声は自動生成されています。ご意見があればお知らせください。
国立標準技術研究所(NIST)は木曜日、ポスト量子暗号(PQC)の実装が、同機関の主要なサイバーセキュリティ出版物における保護策をどのように支援し、またそれらに依存しているかを説明するガイダンスを公開しました。
NISTのPQC移行プロジェクトの成果物から作成されたこのドラフト文書は、量子耐性暗号化の導入に必要なツールと、NISTがサイバーセキュリティフレームワークやその他のガイダンスで推奨しているセキュリティ実践との関連性を示すことを目的としています。
「プロジェクトで実証された機能は、他のNISTガイダンス文書で特定された複数のセキュリティ目標および管理策をサポートしています」と、同機関は新たな出版物で述べています。「同時に、実証された機能の責任ある実装は、これらのリスクフレームワーク文書で特定された複数のセキュリティ目標および管理策の順守に依存しています。」
どの技術が暗号を使用しているかの情報収集は、ハードウェアおよびソフトウェアのインベントリ作成というサイバーセキュリティフレームワーク(CSF)の実践を支援すると、文書は指摘しています。同様に、暗号の脆弱性分析は、技術資産の脆弱性特定というCSFの実践を支援します。
一方で、技術構成管理のための明確なプロセスを確立するというCSFの実践は、新しい量子耐性アルゴリズムを実装するPQC移行の前提条件であると文書は述べています。また、組織への脅威を特定するというCSFの実践は、量子対応ハードウェアセキュリティモジュールの要件策定に役立つ可能性があります。
文書では、PQC活動をCSFにマッピングするだけでなく、NISTのセキュリティおよびプライバシー管理策カタログである特別出版物800-53にもマッピングしています。暗号の脆弱性分析は800-53のリスクアセスメントカテゴリの原則を支援し、PQCアルゴリズムの実装には同出版物の公開鍵基盤証明書に関するセクションの順守がしばしば必要になると記載されています。
またNISTは、PQC移行に注力する組織がCSFプロファイル(コミュニティがCSFをどのように活用して目標を達成しているかを説明する文書)で協力することを推奨しています。同様のCSFプロファイルは、ランサムウェア対策、GPSデータの整合性、半導体製造などに存在します。NISTは、PQC活動のためのCSFプロファイルが「コミュニティのPQC移行を容易にするだろう」と述べています。
翻訳元: https://www.cybersecuritydive.com/news/nist-post-quantum-cryptography-guidance-mapping/760638/