米国 DHS CISA 量子コンピューティングの進展に伴うセキュリティリスクを軽減するためのガイダンス
こんにちは、丸山満彦です。
国土安全保障省 (Department of Homeland Security: DHS) とサイバーセキュリティ・重要インフラセキュリティ庁 (Cybersecurity and Infrastracture Security Agency: CISA) が量子コンピューティングの進展に伴うセキュリティリスクを軽減するためのガイダンス)を公表していますね。。。
● Department of Homeland Security: DHS
・2021.10.04 (press) DHS Releases Guidance to Mitigate Security Risks with the Advancement of Quantum Computing
DHS Releases Guidance to Mitigate Security Risks with the Advancement of Quantum Computing | DHS、量子コンピューティングの進展に伴うセキュリティリスクを軽減するためのガイダンスを発表 |
WASHINGTON - Today, the Department of Homeland Security (DHS), in partnership with the Department of Commerce’s National Institute of Standards and Technology (NIST), released a roadmap to help organizations protect their data and systems and to reduce risks related to the advancement of quantum computing technology. | ワシントン発 - 本日、国土安全保障省(DHS)は、商務省の国立標準技術研究所(NIST)と共同で、組織がデータやシステムを保護し、量子コンピューティング技術の進歩に関連するリスクを軽減するためのロードマップを発表しました。 |
While quantum computing promises unprecedented speed and power in computing, it also poses new risks. As this technology advances over the next decade, it is expected to break some encryption methods that are widely used to protect customer data, complete business transactions, and secure communications. DHS’s new guidance will help organizations prepare for the transition to post-quantum cryptography by identifying, prioritizing, and protecting potentially vulnerable data, algorithms, protocols, and systems. | 量子コンピューターは、コンピューターにおける前例のないスピードとパワーを約束する一方で、新たなリスクをもたらします。 今後10年の間にこの技術が進歩すると、顧客データの保護、商取引の完了、通信の安全性確保のために広く使用されている暗号化方式の一部が破られることが予想されます。 DHSの新しいガイダンスは、企業がポスト量子暗号への移行に備えるために、潜在的に脆弱なデータ、アルゴリズム、プロトコル、システムを特定し、優先順位をつけて保護するのに役立ちます。 |
“Quantum computing will be a scientific breakthrough. It is also expected to pose new data privacy and cybersecurity risks,” said Secretary Alejandro N. Mayorkas. “Now is the time for organizations to assess and mitigate their related risk exposure. As we continue responding to urgent cyber challenges, we must also stay ahead of the curve by focusing on strategic, long-term goals. This new roadmap will help protect our critical infrastructure and increase cybersecurity resilience across the country.” | アレハンドロ・N・マヨルカス長官は次のように述べています。 「量子コンピューターは、科学的な飛躍的進歩をもたらすでしょう。 また、データのプライバシーやサイバーセキュリティに関する新たなリスクが発生することも予想されます。今こそ、企業は関連するリスクを評価し、軽減する必要があります。 我々は、緊急のサイバー課題への対応を続ける一方で、戦略的かつ長期的な目標に焦点を当てて先手を打っていかなければなりません。この新しいロードマップは、重要なインフラを保護し、国全体のサイバーセキュリティの回復力を高めるのに役立ちます」 |
In March, Secretary Mayorkas outlined his vision for cybersecurity resilience and identified the transition to post-quantum encryption as a priority. DHS also issued internal policy guidance to drive the Department’s own preparedness efforts and is conducting a macro-level analysis to inform the government’s action and ensure a smooth and equitable transition. | 3月、マヨルカース長官は、サイバーセキュリティの回復力に関するビジョンを説明し、ポスト量子暗号への移行を優先事項として挙げました。 また、DHSは、同省独自の準備活動を推進するための内部政策ガイダンスを発表し、政府の行動に反映させ、円滑で公平な移行を実現するためのマクロレベルの分析を行っています。 |
For more information and resources, visit DHS.gov/quantum. | 詳細な情報やリソースについては、ウェブをご覧ください。 |
Memorandum on Preparing for Post-Quantum Cryptography | ポスト量子暗号への準備に関するメモランダム |
DHS has significant national security concerns across mission spaces including critical infrastructure, law enforcement, privacy, and counterintelligence that could be harmed by insufficient preparation for a transition to post-quantum cryptography. This memorandum provides guidance to Component Heads to begin preparing for a transition from current cryptography standards to post-quantum encryption now to mitigate risks to data and mission functions. | DHSは、重要インフラ、法執行、プライバシー、防諜などのミッション分野において、国家安全保障上の重大な問題を抱えており、ポスト量子暗号への移行準備が不十分であれば、損害を被る可能性があります。このメモランダムは、データとミッション機能へのリスクを軽減するために、現在の暗号規格からポスト量子暗号への移行の準備を今すぐ始めるよう、各部門の責任者にガイダンスを提供するものです。 |
[PDF] | |
Preparing for Post-Quantum Cryptography: Infographic | ポスト量子暗号に備えて。インフォグラフィック |
Through our partnership with NIST, DHS created a roadmap for those organizations who should be taking action now to prepare for a transition to post-quantum cryptography. This guide will help organizations create effective plans to ensure the continued security of their essential data against the post-quantum threat and prepare for the transition to the new post-quantum cryptography standard when published by NIST. | DHSは、NISTとのパートナーシップを通じて、ポスト量子暗号への移行に備えて今すぐ行動を起こすべき組織のためのロードマップを作成しました。このガイドは、ポスト量子暗号の脅威に対する重要データの継続的なセキュリティを確保し、NISTが発表する新しいポスト量子暗号規格への移行に備えるために、組織が効果的な計画を立てるのに役立ちます。 |
[PDF] | |
Post-Quantum Cryptography Frequently Asked Questions | ポスト量子暗号のよくある質問 |
The Department of Homeland Security (DHS), in partnership with the Department of Commerce’s National Institute of Standards and Technology (NIST), has released a roadmap to help organizations protect their data and systems and to reduce risks related to the advancement of quantum computing technology. | 国土安全保障省(DHS)は、商務省国立標準技術研究所(NIST)と共同で、組織がデータやシステムを保護し、量子コンピューティング技術の進歩に関連するリスクを軽減するためのロードマップを発表しました。 |
[PDF] |
インフォグラフィックに書かれている内容。
1. Engagement with Standards Organizations | 1. 標準化団体への関与 |
Organizations should direct their Chief Information Officers to increase their engagement with standards developing organizations for latest developments relating to necessary algorithm and dependent protocol changes. | 組織は最高情報責任者に対し、必要なアルゴリズムや依存するプロトコルの変更に関連する最新の開発について、標準化団体との連携を強化するよう指示する必要があります。 |
2. Inventory of Critical Data | 2. 重要データのインベントリ |
This information will inform future analysis by identifying what data may be at risk now and decrypted once a cryptographically relevant quantum computer is available. | 重要データのインベントリ情報は、現在どのようなデータが危険にさらされているかを特定し、暗号学的に適切な量子コンピュータが利用可能になった時点で、どのようなデータが復号化されるかを特定することで、将来の分析に役立ちます。 |
3. Inventory of Cryptographic Technologies | 3. 暗号技術のインベントリ |
Organizations should conduct an inventory of all the systems using cryptographic technologies for any function to facilitate a smooth transition in the future. | 組織は、将来のスムーズな移行のために、あらゆる機能に暗号技術を使用しているすべてのシステムのインベントリーを作成する必要があります。 |
4. Identification of Internal Standards | 4. 内部標準の特定 |
Cybersecurity officials within organizations should identify acquisition, cybersecurity, and data security standards that will require updating to reflect post-quantum requirements. | 組織内のサイバーセキュリティ担当者は、量子化後の要件を反映するために更新が必要となる取得、サイバーセキュリティ、データセキュリティの基準を特定する必要があります。 |
5. Identification of Public Key Cryptography | 5. 公開鍵暗号方式の特定 |
From the inventory, organizations should identify where and for what purpose public key cryptography is being used and mark those systems as quantum vulnerable. | インベントリから、組織は公開鍵暗号がどこでどのような目的で使用されているかを特定し、それらのシステムを量子脆弱性としてマークする必要があります。 |
6. Prioritization of Systems for Replacement | 6. 交換するシステムの優先順位付け |
Prioritizing one system over another for cryptographic transition is highly dependent on organization functions, goals, and needs. To supplement prioritization efforts, organizations should consider the following factors when | 暗号の移行において、あるシステムを他のシステムよりも優先させるかどうかは、組織の機能、目標、ニーズに大きく依存します。優先順位付けを補完するために、組織は以下の要因を考慮する必要があります。 |
evaluating a quantum vulnerable system: | 量子脆弱性のあるシステムを評価する際には、以下の要素を考慮すべきです。 |
a. Is the system a high value asset bsed on organizational requirements? | a. そのシステムは、組織の要求に基づいた高価値の資産ですか? |
b. What is the system protecting (e.g. key stores, passwords, root keys, singing keys, personally identifiable information, sensitive personally identifiable information)? | b. システムが保護しているものは何ですか (例: 鍵保管、パスワード、ルート鍵、署名鍵、個人を特定できる情報、個人を特定できる機密情報)? |
c. What other systems does the system communicate with? | c. そのシステムは他にどのようなシステムと連携していますか。 |
d. To what extent does the system share information with federal entities? | d. そのシステムはどの程度まで連邦機関と情報を共有していますか? |
e. To what extent does the system share information with other entities outside of your organization? | e. そのシステムは、組織外の他のエンティティとどの程度まで情報を共有していますか。 |
f. Does the system support a critical infrastructure sector? | f. そのシステムは重要なインフラ部門をサポートしていますか? |
g. How long does the data need to be protected? | g. データはどのくらいの期間保護される必要がありますか? |
7. Plan for Transition | 7. 移行計画 |
Using the inventory and prioritization information, organizations should develop a plan for systems transitions upon publication of the new post-quantum cryptographic standard. Transition plans should consider creating cryptographic agility to facilitate future adjustments and enable flexibility in case of unexpected changes. Cybersecurity officials should provide guidance for creating transition plans. | インベントリと優先順位付けの情報を使用して、組織は、新しいポスト量子暗号規格の発表時にシステムの移行計画を策定する必要があります。移行計画では、将来の調整を容易にし、予期せぬ変更があった場合に柔軟に対応できるよう、暗号学的なアジリティの構築を考慮する必要があります。サイバーセキュリティ担当者は、移行計画を作成するためのガイダンスを提供すべきです。 |
Comments