オーストラリア他 暗号鍵とシークレットの管理 (2025.08.26)

こんにちは、丸山満彦です。

オーストラリア、カナダ、英国、ニュージーランド、日本が共同で、暗号鍵とシークレットについての報告書を公表していますね...

米国ではなくて、日本...

日本といえば、国家サイバー統括室（NCO）とJPCERT/CC...

しかし、このタイミングでなぜこれ？日本までまきこんで、、、

 

● Australian Signals Directorate

・2025.08.26 Managing cryptographic keys and secrets

 

Managing cryptographic keys and secrets	暗号鍵とシークレットの管理
Introduction	序論
Understanding the threat environment	脅威環境の理解
Key and secret management	鍵と秘密情報の管理
Appendix	附属書
Introduction	序論
The world is increasingly relying on online services, digitalisation of data and interconnected systems, cyber security is a vital way in which we protect critical sectors. Good security hygiene keeps participants from making mistakes and makes it harder for malicious cyber actors to cause damage. One important aspect of cyber security is cryptographic keys and secrets management systems. Cryptographic keys and secrets are required for services that secure data, provide integrity, confidentiality, non-repudiation and access control. Cryptographic keys and secrets are a critical asset of many organisations and a core component of cyber security, which must be carefully managed and protected throughout their life cycle.	世界はますますオンラインサービス、データのデジタル化、相互接続されたシステムに依存している。サイバーセキュリティは、重要な分野を保護する上で不可欠な手段である。適切なセキュリティ対策は、関係者のミスを防ぎ、悪意のあるサイバー攻撃者による被害を困難にする。サイバーセキュリティの重要な側面の一つが、暗号鍵と秘密情報の管理システムである。暗号鍵と秘密情報は、データの保護、完全性、機密性、否認防止、アクセス管理を提供するサービスに必要である。暗号鍵と秘密情報は多くの組織にとって重要な資産であり、サイバーセキュリティの中核をなす要素であるため、そのライフサイクル全体を通じて慎重に管理・防御されなければならない。
The Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) and the Department of Industry Science and Resources (DISR) have developed this guide to help organisational personnel in understanding the threat environment and the value of implementing secure keys and secrets management to make better informed decisions.	オーストラリア信号局（ASD）傘下のオーストラリアサイバーセキュリティセンター（ACSC）と産業科学資源省（DISR）は、組織の担当者が脅威環境を理解し、安全な鍵・秘密管理の実施価値を認識して適切な判断を下せるよう、本ガイドを作成した。
The compromise of any private key or secret can have significant, or even severe, negative operational, financial and reputational impacts on an organisation. Organisations must seek to implement mitigations to ensure their organisational keys and secrets are protected and so they are positioned to respond quickly and effectively in the case of a security incident.	秘密鍵や機密情報の侵害は、組織に対して重大あるいは深刻な業務的・財務的・評判上の悪影響をもたらす可能性がある。組織は、自組織の鍵と機密情報を防御し、セキュリティインシデント発生時に迅速かつ効果的に対応できる態勢を整えるため、緩和の実施を追求しなければならない。
Organisations should have a comprehensive understanding of the threat environment which will enable them to build a strong Key Management Plan (KMP) to address their own unique environment and all cryptographic material management, enabling positive security outcomes. A KMP should be prepared in the context of both internal and external threats, how compromise can occur, and what can be done to mitigate and respond to any potential threats.	組織は脅威環境を包括的に理解し、自組織固有の環境と全ての暗号材料管理に対応する強固な鍵管理計画（KMP）を構築することで、積極的なセキュリティ成果を実現できる。KMPは内部脅威と外部脅威の両面、侵害発生の経路、潜在脅威への緩和策と対応策を考慮して策定すべきである。
The advice in this publication has considered threats to the following types of cryptographic keys and secrets:	本出版物の助言は、以下の種類の暗号鍵とシークレットに対する脅威を想定している：
・Asymmetric keys - Two mathematically related keys – a public and a private key – that are used to perform complementary operations, such as encryption, decryption, signature generation and signature verification.	・非対称鍵 - 暗号化、復号化、署名生成、署名検証といった補完的な操作を実行するために使用される、数学的に関連する2つの鍵（公開鍵と秘密鍵）。
・Digital certificate – An electronic document used to identify an individual, a system, a server, a company, or some other entity, and to associate a public key with the entity. A digital certificate is issued by a certification authority and is digitally signed by that authority.	・デジタル証明書 - 個人、システム、サーバー、企業、その他の事業体を識別し、公開鍵をその事業体に関連付けるために使用される電子文書。デジタル証明書は認証機関によって発行され、その機関によってデジタル署名される。
・Symmetric key - A cryptographic key that is used to perform both the cryptographic operations and its inverse: that is, encryption and decryption, or to create a message authentication code or verify a message authentication code.	・対称鍵 - 暗号化操作とその逆操作（暗号化と復号化）の両方、あるいはメッセージ認証コードの作成・検証を実行するために使用される暗号鍵。
・Secret - A confidential and controlled piece of data shared between multiple entities to gain or grant access to a resource, typically used for machine-to-machine access or authorisation, such as an Application Programming Interface (API) key.	・シークレット - リソースへのアクセス権の取得または付与のために複数の事業体間で共有される、機密性が高く管理されたデータ。通常、アプリケーションプログラミングインターフェース（API）キーなど、マシン間アクセスや認証に使用される。
The ASD’s ACSC, the Department of Industry Science and Resources (DISR) and the following international partners provide the recommendations in this guide:	本ガイドの推奨事項は、ASD傘下のACSC、産業科学資源省（DISR）、および以下の国際パートナーがプロバイダとして提供している：
・Canadian Centre for Cyber Security (Cyber Centre)	・カナダサイバーセキュリティセンター（Cyber Centre）
・United Kingdom’s National Cyber Security Centre (NCSC-UK)	・英国国家サイバーセキュリティセンター（NCSC-UK）
・New Zealand’s National Cyber Security Centre (NCSC-NZ)	・ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）
・Japan Computer Emergency Response Team Coordination Center (JPCERT/CC)	・日本JPCERTコーディネーションセンター（JPCERT/CC）
・Japan National Cybersecurity Office (NCO)	・日本国家サイバーセキュリティ室（NCO）
Audience	対象読者
This paper is written for organisational security personnel – including architects, IT security, crypto custodians and managers – whose organisations rely on, use or manage cryptographic keys and secrets. This advice applies to Cloud Service Providers and enterprise organisations with on-premises or hybrid environments.	本資料は、暗号鍵や秘密情報を依存・使用・管理する組織のセキュリティ担当者（アーキテクト、ITセキュリティ担当者、暗号管理責任者、管理者を含む）向けに作成されている。この助言は、クラウドサービスプロバイダーおよびオンプレミス環境やハイブリッド環境を有するエンタープライズ組織に適用される。
This document assumes a moderate level of computing and cyber security knowledge on the part of the reader.	本文書は、読者に中程度のコンピューティングおよびサイバーセキュリティ知識があることを前提としている。
Secure by Design	設計段階からのセキュリティ確保
This guidance is part of the broader Secure by Design initiative by the authoring agencies.	本ガイダンスは、作成機関による広範な「設計段階からのセキュリティ確保」イニシアチブの一環である。
・ASD - Secure by Design	・ASD - セキュア・バイ・デザイン
A KMP sets out organisational practices and procedures that aim to ensure secure life cycle management for keys and secrets. Secure key and secret management is a key pillar of ASD’s ACSC Secure by Design Foundation 2 - Early and Sustained Security – ‘Following an early and sustained security-first approach when developing and procuring products is an investment that facilitates both technology manufacturers and technology consumers to be resilient to cyber risks.	鍵・秘密管理計画（KMP）は、鍵と秘密情報のライフサイクル管理を安全に確保するための組織的実践と手順を定める。鍵と秘密情報の安全な管理は、ASDのACSCセキュア・バイ・デザイン基盤2「早期かつ持続的なセキュリティ」の主要な柱である。「製品の開発・調達において早期かつ持続的なセキュリティ優先アプローチを採用することは、技術製造事業者および技術消費者の双方がサイバーリスクに対するレジリエンスを持つことを可能にする投資である」。
In their most fundamental form, keys and secrets support the following functions:	鍵と秘密情報はその最も基本的な形態において、以下の機能を支える：
・Confidentiality: they allow data to be transmitted or stored securely allowing only authorised entities access.	・機密性：データが安全に伝送または保存され、許可された事業体のみがアクセスできるようにする。
・Integrity: they ensure that data is authentic and has not been changed.	・完全性：データが真正であり、改変されていないことを保証する。
・Authentication and non-repudiation: they allow the key holder to provide an identity for authentication.	・認証と否認防止：鍵保持者が認証のための身元情報を提供できるようにする。

 

・[PDF] Managing Cryptographic Keys and Secrets