翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
暗号化フレームワーク
このコンテキストでは、フレームワークとは、暗号化標準またはポリシーを変更するときに従う必要がある一連の標準運用手順を指します。フレームワークは、標準を実装するのに役立つ足場です。単語をアクションに変換するのに役立ちます。フレームワークは、標準を定義する人々と、標準を実装する人々をリンクします。
フレームワークには通常、次のトピックが含まれます。
データ分類
データ分類は、暗号化戦略の作成に重要な役割を果たします。データ分類は、データの機密性に基づいてデータをカテゴリに割り当てるプロセスです。一般的なデータ分類カテゴリは、機密性の高い順に、パブリック、プライベート、内部、機密、制限されます。
暗号化フレームワークには、データ分類に関する次の情報が含まれている必要があります。
-
企業のデータ分類カテゴリ。
-
データを適切なカテゴリに分類するために使用される分類基準。例えば、会社の取引レシピを制限対象として分類したり、従業員 PII を機密にしたり、公式チャネルを通じて従業員間の社内通信を内部的に行うなどです。
-
カテゴリ間でデータの昇格と降格を行うために使用されるプロセス。
-
各データ分類カテゴリのアクセス基準。
-
各カテゴリに必要な暗号化キーの種類。
環境分類
エンタープライズには、開発、テスト、サンドボックス、本番稼働前、本番稼働など、複数の環境がある場合があります。各環境には、異なるタイプのデータが含まれ、異なる暗号化要件があります。
暗号化フレームワークには、環境に関する次の情報が含まれている必要があります。
-
エンタープライズ環境を定義します。
-
各環境の暗号化要件を定義します。例えば、開発環境のすべてのデータカテゴリに 1 つの暗号化キーを使用し、本番環境では、ビジネスアプリケーションまたはデータ分類カテゴリごとに異なる暗号化キーを使用できます。
変更イベントとプロセス
暗号化標準は頻繁に変更されるため、最新のテクノロジー、ベストプラクティス、イノベーションに遅れをとらないことができます。以下は、暗号化標準のリビジョンを開始する可能性のある一般的な変更イベントです。
-
暗号化キーの最小長の変更
-
暗号化アルゴリズムの強度の変更
-
暗号化キーにアクセスできるユーザーまたは方法の変更
-
キーのローテーション間隔の変更
-
キーを削除するプロセスの変更
-
キーストレージの場所またはポリシーの変更
-
キーのバックアップと復元のプロセスの変更
暗号化フレームワークには、組織が暗号化標準またはポリシーの変更を管理、実装、および伝達するための準備に役立つ以下を含める必要があります。
-
変更管理プロセス – このプロセスの目的は、今後の変更を計画して準備することです。暗号化標準またはポリシーを変更する必要がある場合、この反復可能でスケーラブルなプロセスは、以下を定義するように設計されています。
-
組織が変更の影響を評価する方法
-
変更を開始できるユーザー
-
変更の実装を担当するユーザー
-
変更の承認を担当するユーザー
-
必要に応じて、組織が変更をロールバックする方法
-
-
変更の監査可能性と追跡可能性のプロセス – このプロセスでは、組織がメタデータレベルとデータレベルの両方で変更を監査およびトレースする方法を定義します。以下のレコードの保持方法とアクセス方法を定義する必要があります。
-
変更点
-
変更日時
-
変更を開始、承認、実装したユーザー
例えば、組織が暗号化キーの最小強度を変更した場合、元の要件と新しい要件、変更が有効になった時期、変更プロセスに誰が関与したかを判断できるはずです。
-
-
変更のロールアウトプロセス – このプロセスの目的は、変更を決定した後に組織が変更を実装する方法を定義することです。このプロセスでは、以下を定義します。
-
ステークホルダーとは
-
パイロット版と概念実証のどちらを完了すべきか
-
変更のステータスを伝える方法とタイミング
-
必要に応じて変更をロールバックする方法。
-
変更を実装した後の観察期間。
-
変更に関するフィードバックを収集し、有効性を評価する方法など、変更の影響をモニタリングするための観察プロセス
-
-
廃止プロセス – このプロセスの目的は、組織が暗号化関連のリソースと情報の廃止をどのように処理するかを定義することです。これには、実際のリタイアの手順とリタイアのコミュニケーションプロセスが含まれます。
