国立標準技術研究所（NIST）は9月19日、ポスト量子暗号（PQC）の実装が、同機関の主要なサイバーセキュリティ出版物における保護策をどのように支援し、またそれに依存しているかを説明するガイダンスを公開しました。

このNISTのドラフト文書は、同機関のPQC移行プロジェクトの成果から派生したもので、量子耐性暗号の導入に必要なツールと、NISTがサイバーセキュリティフレームワーク（CSF）やその他のガイダンスで推奨するセキュリティプラクティスとの関連性を示すことを目的としています。

NISTは新しい出版物の中で、「プロジェクトで実証された機能は、他のNISTガイダンス文書で特定されたいくつかのセキュリティ目標と管理策をサポートしている」と述べています。同時に、「実証された機能の責任ある実装は、これらのリスクフレームワーク文書で特定されたいくつかのセキュリティ目標と管理策への順守に依存している」とも指摘しています。

文書によると、どの技術が暗号を使用しているかに関する情報を収集することは、サイバーセキュリティフレームワークのハードウェアおよびソフトウェアインベントリ作成の実践をサポートします。同様に、暗号の脆弱性を分析することは、技術資産の脆弱性を特定するというCSFの実践をサポートします。

一方で、技術構成を管理するための明確なプロセスを確立するというCSFの実践は、新しい量子耐性アルゴリズムを実装するというPQC移行ステップの前提条件であると文書は述べています。また、組織への脅威を特定するというCSFの実践は、量子対応ハードウェアセキュリティモジュールの「要件を通知する」ことができます。

PQC活動をCSFにマッピングするだけでなく、この文書はNISTのセキュリティおよびプライバシー管理カタログである特別刊行物800-53にもマッピングしています。文書によると、暗号の脆弱性を分析することは、800-53のリスク評価カテゴリの原則をサポートし、PQCアルゴリズムの実装は、多くの場合、その出版物の公開鍵インフラストラクチャ証明書に関するセクションへの順守を必要とします。

文書の中でNISTは、PQC移行に焦点を当てている組織に対し、CSFプロファイルの共同作成を奨励しています。これは、コミュニティが目標達成のためにCSFをどのように使用しているかを説明する文書です。同様のCSFプロファイルは、ランサムウェア対策、GPSデータ整合性、半導体製造にも存在します。NISTは、PQC活動のためのCSFプロファイルが「コミュニティのPQCへの移行を容易にする」と述べています。

元記事: [NIST explains how post-quantum cryptography push overlaps with existing security guidance](https://www.cybersecuritydive.com/)