重要性
静止状態の安全な鍵は課題の一部にすぎない。鍵は取引に署名するために使用され、紛失に備えてバックアップされ、侵害時にローテーションされ、承継イベント中に移転されなければならない。各操作はエラーや攻撃の機会を生み出す。鍵管理は、これらの操作がどのように安全に行われるかを定義する。
仕組み
生成: 鍵は監査可能なランダム性を持つ信頼できるハードウェアを使用して作成されるべきである。生成環境は分離され、検証されるべきである。
保管: 鍵はその価値に見合った保護がされるべきである。高価値の鍵にはコールドストレージ、地理的分散、物理的セキュリティ管理が必要。
アクセス制御: 誰が、どのような条件で、どのような承認で鍵を使用できるか?二重管理(複数人を必要とする)と職務分離(異なる機能に異なる人)が内部者リスクを軽減する。
バックアップとリカバリ: 紛失を防ぐためにバックアップコピーが存在しなければならないが、各コピーは攻撃対象となる。バックアップ戦略は耐久性とエクスポージャーのバランスを取るべきである。
ローテーションと廃棄: 鍵が侵害された可能性がある場合、保有資産を新しい鍵に移動すべきである。古い鍵は安全に破棄されるべきである。ローテーションプロセス自体が安全でなければならない。
監査とモニタリング: 鍵の使用はログに記録されるべきである。異常なアクセスパターンはアラートをトリガーすべきである。定期的なレビューで管理が引き続き有効であることを確認すべきである。
よくある失敗
- 侵害されたハードウェアで生成された鍵
- 安全でない保管または全くバックアップされていない
- 適切な管理なしに広すぎるアクセス権限が付与される
- 侵害が疑われる場合のローテーションプロセスがない
- 鍵の移転に対応していない承継計画
