| Cyber security priorities for boards of directors 2025-26 |
取締役会におけるサイバーセキュリティの優先事項 2025-26 |
| Introduction |
序論 |
| The Australian Signals Directorate (ASD) prevents, disrupts and responds to attacks against Australian organisations every day. Understanding and managing cyber security risks, as with other business risks, is a key responsibility in protecting your organisation, shareholders and customers. |
オーストラリア信号局(ASD)は、日々オーストラリアの組織に対する攻撃を防止し、妨害し、対応している。他の事業リスクと同様に、サイバーセキュリティリスクを理解し管理することは、組織、株主、顧客を保護する上での重要な責任である。 |
| The Australian Institute of Company Directors (AICD) mission is to be the independent and trusted voice of governance, building the capability of a community of leaders for the benefit of Australian society. In recent years. The AICD has had a significant focus on educating directors on better practice cyber security and data governance through guidance and education activities. |
オーストラリア会社取締役協会(AICD)の使命は、ガバナンスにおける独立かつ信頼される声となり、オーストラリア社会のためにリーダーのコミュニティの能力を構築することである。近年、AICDはガイダンスや教育活動を通じて、取締役に対し優れた実践的なサイバーセキュリティとデータガバナンスを教育することに重点を置いてきた。 |
| Should we be worried about cyber security? |
サイバーセキュリティを懸念すべきか? |
| Today, Australia faces a heightened global cyber threat environment, driven by geopolitical tensions in the Middle East, Ukraine and the Indo-Pacific. Recent global events have shown that organisations must be prepared for state-based actors pre-positioning for disruptive attacks against critical infrastructure and services. |
今日、オーストラリアは中東、ウクライナ、インド太平洋地域における地政学的緊張に起因する、世界的なサイバー脅威環境の悪化に直面している。最近の国際情勢は、組織が国家支援アクターが重要インフラやサービスに対する破壊的攻撃を事前に準備している事態に備えねばならないことを示している。 |
| Australia has also endured a number of serious data breaches, compromising organisations and impacting customer trust, the cost of which cannot be understated. Unfortunately, trends are worsening. Malicious actors continue to target Australian organisations of all types and sizes. Espionage, enabled by technology advancements, cost Australia $12.5 billion in FY23–24. Cybercrime costs are also rising across all organisation types and sizes, with a sharp increase for large enterprises. |
オーストラリアではまた、組織を危険に晒し顧客の信頼を損なう深刻なデータ侵害が相次いで発生しており、そのコストは過小評価できない。残念ながら、この傾向は悪化している。悪意ある主体は、あらゆる種類・規模のオーストラリア組織を標的とし続けている。技術進歩によって可能となったスパイ活動は、2023-24会計年度にオーストラリアに125億ドルの損害をもたらした。サイバー犯罪による損害も、あらゆる組織タイプ・規模で増加しており、特に大エンタープライズでは急増している。 |
| Where should the focus be in 2025-26? |
2025-26年度、焦点はどこに置くべきか? |
| Boards of directors (boards) play a critical role in overseeing how their organisations maintain and build cyber security capabilities, and in responding to existing and emerging cyber threats. |
取締役会(ボード)は、組織がサイバーセキュリティ能力を維持・構築する方法の監督、および既存・新興のサイバー脅威への対応において重要な役割を担う。 |
| In 2025-26, we encourage a focus by boards on the following areas: |
2025-26年度、取締役会は以下の領域に焦点を当てることを推奨する: |
| ・Understanding whether technology used or provided to your customers is secure by design and secure by default. These security principles and practices are critical for building modern defensible architectures. |
・顧客に提供または使用される技術が「設計段階から安全(Secure by Design)」かつ「デフォルトで安全(Secure by Default)」であるか理解すること。これらのセキュリティ原則と実践は、現代的な防御可能なアーキテクチャ構築に不可欠である。 |
| ・Prioritising the defence of your organisation’s most critical assets. Your organisations should operate with a mindset of ‘assume compromise’ and consider which assets or ‘crown jewels’ need the most protection. |
・組織の最も重要な資産の防御を優先すること。組織は「侵害を前提とする」姿勢で運営し、どの資産や「最重要資産」が最も保護を必要とするかを検討すべきだ。 |
| Your organisation’s ability to defend and respond can be further enhanced through implementing better practice event logging and threat detection measures, replacing legacy information technology (IT), effectively managing third-party risks, and beginning your post-quantum cryptography transition. However, we cannot forget, nor neglect, the basics. This includes keeping all devices updated and enabling multi-factor authentication, especially for any public-facing services. These heightened areas of focus are in addition to a board’s core elements of effective cyber security, for instance, comprehensive cyber security incident planning and promoting a strong cyber security culture within their organisation. |
優れたイベント記録と脅威検知対策の実施、レガシーITの置き換え、サードパーティリスクの効果的な管理、ポスト量子暗号への移行開始を通じて、組織の防御・対応能力はさらに強化できる。しかし、基本を忘れてはならず、また軽視してもならない。これには、すべてのデバイスを最新の状態に保ち、特に一般向けサービスについては多要素認証を有効にすることが含まれる。これらの重点分野は、包括的なサイバーセキュリティインシデント計画や組織内の強力なサイバーセキュリティ文化の促進など、取締役会による効果的なサイバーセキュリティの核心要素に追加されるものである。 |
| What good cyber security governance look likes in 2025-26 |
2025年から2026年における優れたサイバーセキュリティガバナンスのあり方 |
| The following advice outlines questions boards can ask of management and their organisation to understand its cyber security posture in the 2025-26 cyber threat environment. These questions should be read in conjunction with the AICD and the Cyber Security Cooperative Research Centre’s Cyber Security Governance Principles | Version 2 and Governing Through a Cyber Crisis - Cyber Incident Response and Recovery for Australian Directors publications. These publications provide an overview of the core principles of effective cyber security governance, including allocating roles and responsibilities and overseeing an effective cyber security strategy. |
以下のアドバイスは、2025年から2026年のサイバー脅威環境におけるサイバーセキュリティの態勢を理解するために、取締役会が経営陣や組織に尋ねることができる質問の概要である。これらの質問は、AICD およびサイバーセキュリティ共同研究センターの「サイバーセキュリティガバナンス原則 | バージョン 2」および「サイバー危機を乗り切る - オーストラリアの取締役のためのサイバーインシデント対応と復旧」の出版物と併せて読むべきである。これらの出版物は、役割と責任の割り当て、効果的なサイバーセキュリティ戦略の監督など、効果的なサイバーセキュリティガバナンスの核心的な原則の概要を提示している。 |
| Taken together, the questions in this publication, and the AICD’s cyber security governance guidance, represent a proactive approach to building cyber security capability in the current cyber threat environment. |
この出版物の質問と AICD のサイバーセキュリティガバナンスガイダンスを総合すると、現在のサイバー脅威環境においてサイバーセキュリティ能力を構築するための積極的なアプローチが示されている。 |
| The questions in this publication are divided into two categories: |
本出版物の質問は、2 つのカテゴリーに分類される。 |
| ・threshold governance questions that assist in determining the cyber security posture of organisations, given the 2025-26 cyber threat environment. |
・2025 年から 2026 年のサイバー脅威環境を踏まえ、組織のサイバーセキュリティ態勢の決定に役立つ、しきい値ガバナンスに関する質問。 |
| ・supplementary technical questions to understand in greater detail the cyber security controls in place within organisations. These questions may assist directors of a risk or technology committee engage on key controls with senior management, by way of example. |
・組織内で実施されているサイバーセキュリティ対策をより詳細に理解するための、補足的な技術的な質問。これらの質問は、例えば、リスク委員会や技術委員会の取締役が、上級管理職と主要な対策について協議する上で役立つかもしれない。 |
| We recognise that for many organisations, particularly small-to-medium enterprises and not-for-profits, it may not be possible to implement all the advice within this publication. However, this advice still enables the board for such entities to ask questions to understand their organisation’s existing cyber security posture and identify areas for improvement. |
多くの組織、特に中小企業や非営利団体にとって、本出版物の助言を全て実施することは困難かもしれない。しかし、これらの助言は、そのような事業体の取締役会が自組織の既存のサイバーセキュリティ態勢を理解し、改善すべき領域を識別するための質問を投げかけることを可能にする。 |
| ASD provides cyber security advice specifically written for small business. |
ASDは中小企業向けに特別に作成されたサイバーセキュリティ助言を提供している。 |
| The AICD CSCRC Cyber Security Principles also has a dedicated snapshot for directors of smaller organisations. |
AICD CSCRCサイバーセキュリティ原則には、小規模組織の取締役向けに特化した概要も存在する。 |
| Contact details |
連絡先 |
| If you have any questions regarding this guidance you can write to us or call us on 1300 CYBER1 (1300 292 371). |
本ガイダンスに関する質問がある場合は、書面または電話(1300 CYBER1:1300 292 371)にて問い合わせ可能である。 |
| |
|
| Does your organisation have event logging and threat detection? |
貴組織はイベント記録と脅威検知を実施しているか? |
| The board should understand whether there is an enterprise wide-approach to event logging and threat detection. A rigorous approach to threat detection will improve your organisation’s chances of detecting malicious behaviour within your IT environment. |
取締役会は、イベント記録と脅威検知に対するエンタープライズな取り組みの有無を把握すべきである。脅威検知に対する厳格なアプローチは、IT環境内の悪意ある行為の検知を可能にする組織の確率を高める。 |
| In implementing cyber security measures, including event logging and threat detection measures, the board should have visibility of shared responsibilities between service providers and their organisation. |
イベントログ記録や脅威検知を含むサイバーセキュリティ対策を実施する際、取締役会はサービスプロバイダと自社組織間の責任分担を可視化すべきである。 |
| ASD provides advice for executives to assist with implementing event logging and threat detection. |
ASDは、イベントログ記録と脅威検知の実施を支援するため、経営幹部向けの助言を提供している。 |
| Threshold governance questions |
閾値ガバナンスに関する質問 |
| Have we established an event logging policy that includes event log retention, access and review procedures? |
イベントログの保存期間、アクセス、レビュー手順を含むイベントログ記録ポリシーを確立しているか? |
| Have we defined event logging and monitoring responsibilities across teams? |
チーム横断的なイベントログ記録・監視責任を定義しているか? |
| Have we identified all critical systems, applications and devices that require event logging? |
イベントログ記録が必要な全ての重要システム、アプリケーション、デバイスを識別しているか? |
| Supplementary technical questions |
補足的な技術的質問 |
| Event logging processes and coverage |
イベントログ記録プロセスと対象範囲 |
| Do our cyber security activities align with ASD’s event logging and threat detection guidance? |
自社のサイバーセキュリティ活動はASDのイベントログ記録・脅威検知ガイダンスに沿っているか? |
| Do we collect event logs from network devices, security appliances, operating systems, applications, databases and cloud services? |
ネットワーク機器、セキュリティアプライアンス、OS、アプリケーション、データベース、クラウドサービスからイベントログを収集しているか? |
| Event log configuration and quality |
イベントログの設定と品質 |
| Do we configure event logs to capture sufficient detail? |
十分な詳細情報を取得するようイベントログを設定しているか? |
| Do we ensure event logs are time-synchronised across our organisation? |
組織全体でイベントログの時間同期を確保しているか? |
| Do we avoid collecting excessive or irrelevant event logs? |
過剰または無関係なイベントログの収集を回避しているか? |
| Centralised event log management |
集中型イベントログ管理 |
| Do we forward event logs to a centralised event logging system? |
イベントログを集中型イベントログシステムに転送しているか? |
| Do we ensure event logs are securely transmitted and stored? |
イベントログの安全な伝送と保存を確保しているか? |
| Do we implement access controls to protect the integrity and confidentiality of event logs? |
イベントログの完全性と機密性を防御するアクセス管理を実施しているか? |
| Threat detection capabilities |
脅威検知能力 |
| Do we define and implement detection rules for known cyber threats and anomalies? |
既知のサイバー脅威や異常に対する検知ルールを定義し実装しているか? |
| Do we use threat intelligence feeds to enhance detection rules? |
脅威インテリジェンスフィードを活用して検知ルールを強化しているか? |
| Do we monitor for indicators of compromise and suspicious behaviour? |
侵害の兆候や不審な行動を監視しているか? |
| Alerting and response |
アラートと対応 |
| Do we configure alerts for high-risk events |
高リスクイベントに対するアラートを設定しているか? |
| Do we ensure alerts are actionable and routed to appropriate teams? |
アラートが実行可能であり、適切なチームにルーティングされることを保証しているか? |
| Do we integrate alerts into cyber security incident response workflows? |
アラートをサイバーセキュリティインシデント対応ワークフローに統合しているか? |
| Event log analysis |
イベントログ分析 |
| Do we conduct regular reviews of event logs for signs of compromise? |
侵害の兆候を調べるため、イベントログを定期的にレビューしているか? |
| Do we use automated tools to correlate events and detect patterns? |
イベントを相関分析しパターンを検知する自動化ツールを使用しているか? |
| Do we performed retrospective analysis after cyber security incidents? |
サイバーセキュリティインシデント発生後に事後分析を実施しているか? |
| Retention and compliance |
保持とコンプライアンス |
| Do we retain event logs for a period consistent with legal and regulatory requirements? |
法的・規制要件に沿った期間、イベントログを保持しているか? |
| Do we ensure event logs are made available for forensic investigations and audits? |
フォレンジック調査や監査のためにイベントログが利用可能であることを保証しているか? |
| Do we have documented event log retention policies? |
文書化されたイベントログ保持ポリシーがあるか? |
| How does your organisation manage legacy information technology? |
貴組織はレガシーITをどのように管理しているか? |
| Legacy IT presents significant and enduring risks to the cyber security posture of your organisation. The board should be aware that weak cyber security measures for legacy IT can increase the likelihood of a cyber security incident, and make any cyber security incident that does occur more impactful. |
レガシーITは組織のサイバーセキュリティ態勢に対し、重大かつ持続的なリスクをもたらす。取締役会は、レガシーITに対する脆弱なセキュリティ対策がインシデント発生確率を高め、発生時の影響を拡大させることを認識すべきである。 |
| The most effective method to mitigate the cyber security risk posed by legacy IT is to replace it before it becomes unsupported. Retaining legacy IT within your organisation’s IT environment, especially where adequate compensating measures have not been applied, also presents significant business risks. These include the costs involved in remediating the consequences following a cyber security incident, systems being taken offline, service delivery being disrupted, loss of productivity, potential leakage or loss of data, and loss of public confidence in your organisation. |
レガシーITがサポート終了状態になる前に置き換えることが、サイバーセキュリティリスクの緩和につながる最も効果的な方法である。特に適切な補償措置が講じられていない場合、組織のIT環境内にレガシーITを保持することは、重大なビジネスリスクも伴う。これには、サイバーセキュリティインシデント発生後の影響修復コスト、システムの停止、サービス提供の混乱、生産性の低下、データの漏洩・喪失の可能性、組織に対する公衆の信頼喪失などが含まれる。 |
| ASD provides advice for executives to assist with legacy IT management. |
ASDは、経営幹部がレガシーIT管理を支援するための助言を提供している。 |
| Threshold governance questions |
閾値ガバナンスに関する質問 |
| Have we identified and documented all legacy IT in use? |
使用中のレガシーITを全て識別し文書化しているか? |
| Have we assigned risk ownership responsibility for each piece of legacy IT? |
各レガシーITに対するリスク所有責任を割り振っているか? |
| Have we established a legacy IT risk management strategy aligning with ASD’s guidance? |
ASDのガイダンスに沿ったレガシーITリスクマネジメント戦略を確立しているか? |
| Have we assessed each piece of legacy IT for security vulnerabilities, operational dependencies and business criticality |
各レガシーITについて、セキュリティ脆弱性・運用依存関係・業務重要性を評価しているか? |
| Have we categorised each piece of legacy IT based on risk exposure and impact? |
リスクエクスポージャーと影響度に基づき各レガシーITを分類しているか? |
| Supplementary technical questions |
補足的な技術的質問 |
| Compensating measures |
補償措置 |
| Do we have compensating measures for when patching legacy IT is not possible? |
レガシーITへのパッチ適用が不可能な場合の補償措置は存在するか? |
| Do we document, and regularly review, compensating measures for their effectiveness? |
補償措置の有効性について文書化し、定期的に見直しているか? |
| Access controls |
アクセス制御 |
| Do we restrict access to legacy IT to only those who need it? |
レガシーITへのアクセスを必要な者にのみ制限しているか? |
| Do we log all access to legacy IT? |
レガシーITへの全アクセスをログ記録しているか? |
| Monitoring and incident response |
監視とインシデント対応 |
| Do we include legacy IT in our security monitoring and alerting activities? |
セキュリティ監視およびアラート活動にレガシーITを含めているか? |
| Do our cyber security incident response plans account for legacy IT? |
サイバーセキュリティインシデント対応計画はレガシーITを考慮しているか? |
| Do we conduct testing of cyber security incident response playbooks involving legacy IT? |
レガシーITを想定したサイバーセキュリティインシデント対応プレイブックのテストを実施しているか? |
| Vendor support considerations |
ベンダーサポートに関する考慮事項 |
| Do we regularly scan for legacy IT that is no longer supported by vendors? |
ベンダーによるサポートが終了したレガシーITを定期的にスキャンしているか? |
| Do we engage vendors for extended support or security advisories if available? |
延長サポートやセキュリティアドバイザリが利用可能な場合、ベンダーと連携しているか? |
| Do we document end of life timelines and vendor support gaps? |
サポート終了時期とベンダーサポートの空白期間を文書化しているか? |
| Transition and decommissioning plans |
移行および廃止計画 |
| Do processes for secure data mitigation from legacy IT exist? |
レガシーITからの安全なデータ緩和プロセスは存在するか? |
| Do we maintain a roadmap for replacing or retiring legacy IT? |
レガシーITの置換または廃止に向けたロードマップを維持しているか? |
| Do we prioritise decommissioning legacy IT based on risk and business impact? |
リスクと事業影響に基づきレガシーITの廃止を優先しているか? |
| How does your organisation manage its cyber supply chain risk? |
貴組織はサイバーサプライチェーンリスクをどのように管理しているか? |
| The board should have oversight of how cyber security risk is managed in the cyber supply chain. Suppliers, manufacturers, distributors and retailers involved in products or services used by your organisation will present a cyber supply chain risk for your businesses. Likewise, you will present a cyber supply chain risk to your customers. |
取締役会はサイバーサプライチェーンにおけるサイバーセキュリティリスクマネジメントを監督すべきである。貴組織が利用する製品・サービスに関わる供給業者、製造事業者、頒布事業者、小売業者は、貴事業にとってサイバーサプライチェーンリスクとなる。同様に、貴組織も顧客にとってサイバーサプライチェーンリスクとなる。 |
| For Australian Prudential Regulation Authority regulated entities, there are specific obligations set out in prudential standards on the oversight of suppliers and the Security of Critical Infrastructure Act 2018 has obligations that extend across various participants in the critical asset supply chain. |
オーストラリア金融規制庁(APRA)の規制対象事業体については、サプライヤーの監督に関する監督標準に特定の義務が定められており、2018年重要インフラセキュリティ法は重要資産サプライチェーンの様々な参加者に義務を課している。 |
| Effective cyber supply chain risk management ensures, as much as possible, the secure supply of products and services throughout their lifetime. This includes their design, manufacture, delivery, maintenance, decommissioning and disposal. Cyber supply chain risk management should form a significant component of your organisation’s overall cyber security strategy. |
効果的なサイバーサプライチェーンリスクマネジメントは、製品やサービスのライフサイクル全体(設計、製造事業者、納入、保守、廃止、廃棄を含む)において、可能な限り安全な供給を確保するものである。サイバーサプライチェーンリスクマネジメントは、組織全体のサイバーセキュリティ戦略において重要な構成要素となるべきだ。 |
| ASD provides advice for executives to assist with cyber supply chain risk management. |
ASDは、経営陣がサイバーサプライチェーンリスクマネジメントを支援するための助言を提供している。 |
| Threshold governance questions |
閾値ガバナンス質問 |
| Have we developed a cyber supply chain risk management policy? |
サイバーサプライチェーンリスクマネジメントポリシーを策定したか? |
| Have we assigned ownership for cyber supply chain risk across procurement, legal and cyber security teams? |
調達、法務、サイバーセキュリティ各チームにサイバーサプライチェーンリスクの責任を割り当てたか? |
| Have we identified all suppliers with access to our systems and data? |
自社のシステムやデータにアクセス可能な全サプライヤーを識別したか? |
| Have we categorised suppliers by criticality and risk exposure? |
サプライヤーを重要度とリスクエクスポージャーで分類したか? |
| Have we assessed suppliers’ cyber security posture using assessments or certifications? |
サプライヤーのサイバーセキュリティ態勢をアセスメントや認証を用いて評価したか? |
| Supplementary technical questions |
補足的な技術的質問 |
| Contractual measures |
契約上の措置 |
| Do we include cyber security requirements in contracts and service level agreements? |
契約やサービスレベル契約にサイバーセキュリティ要件を含めているか? |
| Do we require suppliers to notify us of breaches, security vulnerabilities or changes in risk? |
サプライヤーに侵害、セキュリティ脆弱性、リスク変化の通知を義務付けているか? |
| Do we require compliance with ASD’s Information security manual (ISM)? |
ASDの情報セキュリティマニュアル(ISM)への準拠を要求しているか? |
| Due diligence |
デューデリジェンス |
| Do we conduct cyber supply chain risk assessments before onboarding suppliers? |
サプライヤーの採用前にサイバーサプライチェーンリスク評価を実施しているか? |
| Do we verify supplier cyber security measures and cyber security incident response capabilities? |
サプライヤーのサイバーセキュリティ対策とインシデント対応能力を検証しているか? |
| Do we ensure suppliers understand and agree to our cyber security expectations? |
サプライヤーが自社のサイバーセキュリティ要件を理解し同意していることを確認しているか? |
| Ongoing monitoring and review |
継続的監視とレビュー |
| Do we monitor supplier performance and compliance with cyber security obligations? |
サプライヤーのパフォーマンスとサイバーセキュリティ義務の遵守状況を監視しているか? |
| Do we review supplier risk profiles periodically? |
サプライヤーのリスクプロファイルを定期的に見直しているか? |
| Do we track and respond to emerging cyber threats affecting our cyber supply chain? |
自社のサイバーサプライチェーンに影響する新たなサイバー脅威を追跡し対応しているか? |
| Third-party access management |
サードパーティアクセス管理 |
| Do we limit supplier access to only necessary systems and data? |
サプライヤーのアクセスを必要なシステムとデータのみに制限しているか? |
| Do we implement cyber security measures, such as network segmentation and multi-factor authentication, for supplier access to our systems? |
サプライヤーが自社システムにアクセスする際、ネットワークセグメンテーションや多要素認証などのサイバーセキュリティ対策を実装しているか? |
| Do we monitor and log supplier access to our systems? |
サプライヤーの自社システムへのアクセスを監視・記録しているか? |
| Cyber security incident response and resilience |
サイバーセキュリティインシデント対応とレジリエンシー |
| Do we include cyber supply chain compromise scenarios in our cyber security incident response planning? |
サイバーセキュリティインシデント対応計画に、サイバーサプライチェーン侵害シナリオを含めているか? |
| Do we ensure suppliers have their own cyber security incident response plans and reporting mechanisms? |
サプライヤーが独自のサイバーセキュリティインシデント対応計画と報告メカニズムを有していることを確認しているか? |
| Do we establish communication protocols with suppliers for coordinated responses to cyber supply chain compromises? |
サイバーサプライチェーン侵害への協調的対応のため、サプライヤーとの連絡手順を確立しているか? |
| Does your organisation have a post-quantum cryptography transition plan? |
貴組織は耐量子暗号移行計画を有しているか? |
| The board should be aware that in the near future cryptographically relevant quantum computers will render most contemporary cryptography insecure. This will result in existing secure communications based on current cryptography technology becoming vulnerable to compromise. |
取締役会は、近い将来に暗号学的に有効な量子コンピュータが登場し、現代の暗号技術のほとんどが安全でなくなることを認識すべきである。これにより、現行の暗号技術に基づく既存の安全な通信が脆弱性を持つようになる。 |
| As the creation of a cryptographically relevant quantum computer presents new cyber security risks, the board should oversee steps to anticipate future business requirements and dependencies for vulnerable systems during the transition period to post-quantum cryptography standards. |
暗号学的に有効な量子コンピュータの出現が新たなサイバーセキュリティリスクをもたらすため、取締役会はポスト量子暗号標準への移行期間中、脆弱なシステムに対する将来の業務要件と依存関係を予測する措置を監督すべきである。 |
| ASD provides advice for executives to assist with the post-quantum cryptography transition. |
ASDはポスト量子暗号移行を支援するため、経営幹部向けの助言を提供している。 |
| Threshold governance questions |
閾値ガバナンス質問 |
| Have we acknowledged the long-term impact of quantum computing? |
量子コンピューティングの長期的な影響を認識しているか? |
| Have we assessed the potential impact of quantum threats to our systems and data? |
量子脅威がシステムとデータに及ぼす潜在的影響を評価したか? |
| Have we established a post-quantum cryptography transition plan? |
耐量子暗号移行計画は策定済みか? |
| Have we assigned executive and senior management responsibilities for post-quantum cryptography transition planning and readiness? |
耐量子暗号移行計画と準備態勢に関する経営陣および上級管理職の責任分担は明確化されているか? |
| Supplementary technical questions |
補足技術的質問 |
| Cryptographic inventory |
暗号技術インベントリ |
| Do we document where cryptography is implemented within our organisation? |
組織内で暗号技術が実装されている箇所を文書化しているか? |
| Do we have an inventory of the cryptographic algorithms, protocols and libraries we use? |
使用する暗号アルゴリズム、プロトコル、ライブラリのインベントリは存在するか? |
| Do we track and record our dependencies on vulnerable cryptographic algorithms? |
脆弱な暗号アルゴリズムへの依存関係を追跡・記録しているか? |
| Vendor and supply chain engagement |
ベンダーおよびサプライチェーンとの連携 |
| Do we regularly engage with vendors to understand their post-quantum cryptography transition plans and readiness? |
ベンダーと定期的に連携し、ポスト量子暗号への移行計画と準備状況を把握しているか? |
| Do we require vendors to disclose cryptographic dependencies and upgrade timelines? |
ベンダーに対し、暗号依存関係とアップグレードのタイムラインを開示するよう要求しているか? |
| Do we include post-quantum cryptography considerations in our procurement and contract negotiations with vendors? |
ベンダーとの調達および契約交渉において、ポスト量子暗号に関する考慮事項を含めているか? |
| Transition planning |
移行計画 |
| Do we monitor ASD’s advice on planning for post-quantum cryptography? |
ポスト量子暗号計画に関するASDの助言を監視しているか? |
| Do we have a roadmap for migration to quantum-resistant algorithms? |
量子耐性アルゴリズムへの移行ロードマップを有しているか? |
| Testing and validation |
テストと妥当性確認 |
| Do we first test quantum-resistant algorithms in non-production environments? |
量子耐性アルゴリズムをまず非本番環境でテストしているか? |
| Do we evaluate performance, interoperability and the security of quantum-resistant algorithms? |
量子耐性アルゴリズムの性能、相互運用性、セキュリティを評価しているか? |
| Policy and compliance |
ポリシーとコンプライアンス |
| Do we have updated cryptography policies that include post-quantum cryptography considerations? |
ポスト量子暗号を考慮した更新された暗号ポリシーがあるか? |
| Do we comply with ASD’s post-quantum cryptography standards? |
ASDの耐量子暗号標準に準拠しているか? |
| Do we track regulatory developments related to post-quantum cryptography? |
ポスト量子暗号に関連する規制動向を追跡しているか? |
Recent Comments