外部からの攻撃や内部の脅威に対抗し、あらゆる機密情報の安全性を確保するために政府機関が準拠すべき情報セキュリティ規制やプロセスは多数あります。
たとえば、FISMA、FedRAMP、およびFICAMです。
政府の規制コンプライアンスに対応するRoot of Trust(信頼の基点)としてのUtimaco HSM
私たちのコミュニティ、経済、国家安全保障は、悪意のある攻撃者の手から機密情報を守る政府の力に懸かっています。政府機関が機密データをデジタルストレージやクラウドコンピューティングに移行する動きが進むにつれて、規制の範囲は拡大し、より多くの脆弱性が生じることになります。FISMA、FedRAMP、FICAMは、機密情報のセキュリティを確保し、サイバー攻撃や内部の脅威から効果的に守るために政府機関が準拠すべきコンプライアンスに関する義務と枠組みの一部です。
Utimacoの汎用ハードウェアセキュリティモジュール(HSM)は、機密性の高い暗号化データの安全な保管と処理を可能にし、機関の公開鍵インフラストラクチャ(PKI)システムの安全な信頼のルーツを構築します。これらの機器は、多数の規制機関および提携ベンダーにサービスを提供しており、FIPS 140-2レベル3またはレベル4(物理)で認定されており、共通基準にも準拠しています。
UtimacoのEnterprise Secure Key Manager(ESKM)は、FIPS 140-2レベル2認定のキー管理ソリューションを提供します。EKSMは、改ざん防止ハードウェアで暗号化キーへのアクセスを作成、保護、提供、および監査します。Utimaco HSMとESKMは両方とも、従来の暗号化アルゴリズムとポスト量子暗号アルゴリズムをサポートしており、FISMA、FedRAMP、FICAMにも完全に準拠しています。
政府機関に対応するコンプライアンス要件
連邦情報セキュリティ管理法(FISMA)
FISMAは、米国政府による機密情報の保護を確保する取り組みの一環として、2002年に議会で可決され、2014年に改正されました。FISMAコンプライアンスは、すべての米国政府機関、および米国政府と取引を行う民間組織に適用されます。
政府機関および請負業者がFISMAコンプライアンスに準拠すべきセキュリティ管理は、以下に示す一連のNIST文献に概説されています。
- NIST SP 800-53
- NIST SP 800-171
- FIPS 199
- FIPS 200
連邦リスク承認管理プログラム(FedRAMP)
FedRAMPは、クラウドに保存された政府データとアプリケーションが適切に保護されるように設計されています。FedRAMP要件は、次のようなファミリーを含むNIST 800-53セキュリティ管理に基づいています。
- アクセス制御
- 監査と説明責任
- コンティンジェンシー計画
- 識別と認証
- システムと通信保護。
連合アイデンティティ、資格情報、およびアクセス管理(FICAM)
FICAMは、すべての政府機関にわたってアイデンティティ、資格情報、およびアクセス管理ソリューションの使用を標準化するための米国政府の取り組みです。FICAMの最初の目標は、連邦政府の情報および物理的セキュリティを強化することであり、これには、政府システムおよびリソースに対するユーザー認証のための安全で使用可能なシステムの構築に的を絞った目標が含まれます。
Utimacoソリューションによるコンプライアンスの達成
機密性の高い政府データへのアクセスを保護するには、システムやリソースへのアクセスを許可する前に、ユーザーを安全かつ正確に識別し認証できることが必要です。Utimaco CryptoServer HSMおよびESKMは、エージェンシーが準拠するための次の要件を満たしています。
- ユーザー認証トークンの作成:ユーザー認証トークンは、有効にするために安全でなければならない秘密の値を中心に作成されています。悪意のあるユーザーが偽の有効な認証トークンを作成できないようにするには、基礎となるシークレットを保護する必要があります。CryptoServerは、暗号化シークレットの安全な保存を可能にするほか、多数の組み込み暗号化アルゴリズムを含んでいるので、改ざん防止ハードウェア内で認証トークンを安全に生成できるようになります。
- ユーザー証明書の管理:公開鍵インフラストラクチャ(PKI)は、ユーザーキーと証明書の階層に基づいており、階層の上位にある証明局(CA)が下位の認証局の有効な証明書を作成できます。これらの証明書はユーザーの認証に使用できるため、証明書を作成するために使用される秘密鍵の保護が不可欠です。CryptoServerは、CAの秘密鍵の保存、証明書の作成、安全な環境へのサインインが可能なので、これらの鍵が危険にさらされることを防ぐことができます。
- アクセス制御の実装: 機密性の高いデータと機能へのアクセスを保護するには、セキュリティの高いユーザー認証を行い、保護されたリソースへのアクセス権限を検証する機能が必要です。CryptoServerは、パスワードベースのシステムや組み込みの多要素認証(MFA)のほか、多数のPKI管理システムとの統合を利用したユーザー認証が可能です。
- データベース暗号化キーの保存: データベースの暗号化は、組織のシステムにアクセス権を持つ攻撃者がそれらのシステムに保存されている機密データにアクセスできないようにするのに役立ちます。ただし、この暗号化されたデータの安全性は、データを保護するために使用される暗号化キーの安全性と同じレベルになります。UtimacoのEnterprise Secure Key Manager(ESKM)は、データベースの暗号化キーを安全に保存し、保護された環境内でデータ復号化を実行できるので、秘密鍵が組織の管理から離れないようにすることができます。
UtimacoのCryptoserver HSMとESKMは、機密性の高い暗号化データの安全な保存と処理を可能にし、機関の公開鍵インフラストラクチャ(PKI)システムの安全なRoot of Trust(信頼の基点)を作成します。 これにより、政府機関や請負業者がFISMA、FedRAMP、およびFICAMコンプライアンスのためのソリューションを構築する強固な基盤が提供されます。