金融や医療などの主要産業において、最新のインターネットセキュリティプロトコルであるTLS 1.3を使用しながら、サイバー攻撃のための受信データの監視を行うためのベストプラクティスに従う必要があります。TLS 1.3は最先端の保護を提供しますが、これらの必要なデータ監査の実行を複雑にします。国立標準技術研究所(NIST)は、これらの産業がTLS 1.3を実装し、安全かつ効果的な方法で必要なネットワーク監視および監査を達成するための方法を説明する実践ガイドを発表しました。
この新しい実践ガイド「エンタープライズ内のTLS 1.3による可視性の課題に対処する(NIST特別出版物(SP)1800-37)」は、過去数年間にわたりNIST国立サイバーセキュリティセンター(NCCoE)で技術ベンダー、業界団体、およびインターネットエンジニアリングタスクフォース(IETF)に参加するその他のステークホルダーの広範な関与を得て開発されました。このガイダンスは、公共インターネットを介して内部サーバーに送信されるデータを保護する最新の方法に準拠しながら、マルウェアやその他のサイバー攻撃の証拠を監視および監査することを要求する金融業界などの規制に同時に遵守するための技術的方法を提供します。
NISTは、2024年4月1日までにドラフト実践ガイドに対する公開コメントを求めています。TLSプロトコルは1996年にIETFによって開発され、インターネットセキュリティの重要な構成要素です。TLS 1.3は、2018年にリリースされた最新の反復であり、監査を実行するために法律で義務付けられている企業のサブセットにとって課題を提示しました。このアップデートは、監視および監査目的でキーにアクセスするために組織が使用するツールをサポートしていません。そのため、NISTの新しい実践ガイドが登場しました。
ガイドは、データを不正アクセスから保護しながらキーにアクセスする方法を提供する6つの技術を提供します。TLS 1.3は、データが受信されるとインターネット交換を保護するために使用されるキーを排除しますが、実践ガイドのアプローチにより、組織はセキュリティ監視を実行するのに十分な長さの生データと復号化されたデータを保持できます。この情報は、監査および法医学目的のために安全な内部サーバー内に保持され、セキュリティ処理が完了すると破棄されます。キーをこのような環境で保管することにはリスクが伴いますが、NISTは、これらのリスクを高める可能性のある自家製アプローチに対するいくつかの安全な代替案を示すために実践ガイドを開発しました。
【ニュース解説】
金融や医療などの主要産業では、インターネットを介して送受信されるデータの安全性を確保するために、最新のインターネットセキュリティプロトコルであるTLS 1.3の使用が推奨されています。TLS 1.3は、データの暗号化と安全な通信を提供することで、サイバー攻撃から保護する役割を果たします。しかし、この最新プロトコルは、企業が法律や規制に基づいて実施する必要があるデータ監査やモニタリング作業を複雑にしています。これは、TLS 1.3が従来のバージョンと比べて、より厳格なセキュリティ機能を備えているため、監査目的でのデータアクセスが困難になっているからです。
この問題に対処するため、国立標準技術研究所(NIST)は、TLS 1.3を使用しながらも、企業が安全かつ効果的にネットワーク監視および監査を行うための実践ガイドを発表しました。このガイドは、技術ベンダーや業界団体、インターネットエンジニアリングタスクフォース(IETF)の協力のもと、数年にわたり開発されました。ガイドには、データを不正アクセスから保護しつつ、監査やセキュリティモニタリングのために必要なキーへのアクセス方法を提供する6つの技術が紹介されています。
TLS 1.3の導入により、データの受信時に使用されるキーが排除されるため、従来の方法では監査やモニタリングが困難になります。しかし、この新しい実践ガイドにより、企業はセキュリティ監視を実行するために必要なデータを安全に保持し、処理後にはこれらのデータを破棄することができます。これにより、TLS 1.3の高いセキュリティ基準を維持しつつ、規制や法律に基づく監査要件も満たすことが可能になります。
この実践ガイドの提供は、企業が最新のセキュリティプロトコルを採用しながらも、サイバー攻撃の検出やデータの保護に必要な監査機能を維持できるようにするための重要なステップです。また、将来的には量子コンピューティングに対応するためのセキュリティ対策としても、TLS 1.3の重要性が高まることが予想されます。このガイドは、企業がセキュリティと監査のバランスを取りながら、最新の技術動向に適応していくための貴重なリソースとなるでしょう。
しかし、このような技術的な対応策を実装するには、IT専門家やセキュリティチームの継続的な教育と訓練が必要です。また、新しいセキュリティ対策の導入は、企業の運用や業務プロセスに影響を与える可能性があるため、計画的かつ慎重な実施が求められます。この実践ガイドが提供する技術的な解決策は、企業がこれらの課題を克服し、安全なデジタル環境を維持するための一助となることでしょう。