JIS Q 27001:2014の管理策について-19
今回は、「10 暗号」です。
10 暗号
10.1 暗号による管理策
目的:情報の機密性、真正性及び/又は完全性を保護するために、暗号の適切かつ有効な利用を確実にするため。
情報の機密性・真正性・完全性を確保するために、暗号を適切かつ有効に利用することが目的となります。
10.1.1 情報を保護するための暗号による管理策の利用に関する方針は、策定し、実施する。
暗号を利用するためのルールを定め、ルールに基づいた運用をする必要があります。
ルールには次のようなことを含める必要があります。
- 暗号アルゴリズムの種別、強度及び品質
- 持ち運び・取り外し可能な媒体、通信によって伝送される情報の保護
- 暗号鍵の保護手法、鍵紛失時の復元方法
- 暗号化技術の国内・国外の規制・制約
取り外し可能な媒体に重要な情報を保存する場合や、メール等の通信にて重要な情報を授受する場合などは情報の暗号化を検討して下さい。
10.1.2 暗号鍵の利用、保護及び有効期間(lifetime)に関する方針を策定し、そのライフサイクル全体にわたって実施する。
暗号鍵の利用、保護、有効期間に関するルールを定め、 ルールに基づいた運用をする必要があります。
ご自分で暗号鍵を生成する機会は少ないと考えます。
外部記憶媒体や暗号化ツール、Wi-fi等の通信機器などでは、「パスフレーズ」を利用するのが一般的ですので、パスフレーズの変更・保管方法を定めておいて下さい。
また、公開鍵暗号方式(PKI)を用いたマイナンバーカード等には鍵が保管されていますが、利用するためのパスワードが設定されていますので、カードの保管だけでなく、パスワードの保管にも注意して下さい。
次回は「11 物理的及び環境的セキュリティ」の予定です。
