情報セキュリティの国際規格である情報セキュリティマネジメントシステム(ISMS・ISO27001)では、情報の機密性と完全性を保護するために暗号化の利用を推奨されるようになりました。この中で何が一番重要視されているかというと鍵管理に関してです。少ない暗号化の実施項目の中で鍵管理だけで特別に章が設けられており、その重要度を垣間見ることができます。

この中では「暗号鍵の利用、保護及び有効期限に関する方針を策定し、そのライフサイクル全体にわたって実施することが望ましい」と記述されています。このライフサイクルとは暗号鍵の生成、保管、保存、読み出し、配布、使用停止及び破壊のすべての項目を暗号鍵を管理するための要求事項とすることが望ましいとされています。こらの記述はクレジットカード情報のセキュリティ基準であるPCI-DSSの暗号化要件をかなり意識した記述となっているようですが、これらの暗号鍵の管理がセキュリティ基準にを満たすために重要であるということになります。

私たちは暗号化していれば安心と単純に考えがちですが、実際に暗号化する場合は暗号鍵の管理のほうが重要視されます。暗号鍵は紛失すればデータを元に戻せませんし、盗まれても大変なことになります。暗号鍵のライフサイクルをきちんと管理できるようにシステムを作成するのは大きな負担となりますので、それらの管理を簡単にできる暗号化システムの選定をしていただければと思います。