はじめに
この記事は「PQC Advent Calendar 2025」の 5日目です。
この記事では、組織における暗号の利用箇所を把握するための台帳(クリプト・インベントリ)や、クリプト・インベントリを作成するためのフォーマットであるCBOM(Cryptography Bill of Material)の紹介をします。
クリプト・インベントリとは
量子コンピューターによる公開鍵の危殆化が示唆されていることから、PQC(耐量子計算機暗号)への移行が必要になります。
組織がPQC移行を行う前に、そもそも組織の中においてどこで暗号が利用されているか把握する必要があります。
暗号の利用状況を可視化する手段として、暗号に関する台帳(クリプト・インベントリ)が必要であるとされています。
クリプト・インベントリには、アプリケーション暗号やネットワークの暗号通信、サーバー証明書など暗号が利用されている箇所を列挙し、それらの暗号がどのような暗号アルゴリズム・鍵長を使っているか整理します。
この整理を行うことで、組織における暗号の利用状況を把握するだけでなく、どこで使われている暗号が将来量子コンピューターによる暗号解読のリスクが高いか分析することが可能です。
またクリプト・インベントリはPQCへの移行のみならず以下の用途でも使用することが有効であると考えられています。
- SSL/TLSを行うサーバ証明書の有効期間短縮に伴う証明書管理
SSL/TLSを行うサーバ証明書の有効期間が2029年には47日まで短縮することから、証明書管理の自動化について必要性が高まっています。証明書管理の自動化をする上で、クリプト・インベントリを用いて証明書がどのサーバにあり、有効期限がいつまでか把握することが可能です。
(参考:https://www.digicert.com/jp/blog/tls-certificate-lifetimes-will-officially-reduce-to-47-days) - 暗号の利用箇所を把握することが要求される規制への対応
クレジットカードのペイメント情報を保持する会社に求める規制のPCIDSSや、欧州の金融機関とそのITサービスベンダーが対象となる規制のデジタル・オペレーション・レジリエンス法(DORA)で、暗号の利用状況を把握することなどが求められています。今後暗号の利用状況を把握することを求める規制・法律は増えることが予想され、その時のエビデンスとして有効です。
CBOMとは
クリプト・インベントリは、暗号の利用箇所を特定することが目的であることから手動での作成も可能ではありますが、より効率的に暗号に関する情報を収集・管理する上ではツールによるスキャンや集約と言ったアプローチが有効です。
しかし、スキャンした結果はスキャンするレイヤー(アプリケーション・ネットワークなど)やスキャンする製品によって異なり、異なるフォーマットの情報を一つの台帳として管理することは困難です。
そこで暗号に関する構成情報の共通のフォーマットとして提唱されたのがCBOM(Cryptography Bill of Material)です。
CBOMはSBOM(Software Bill of Material)の拡張として位置づけられており、OWASPが策定するSBOMのフォーマット「CycloneDX v1.6」において定義されています。
https://cyclonedx.org/capabilities/cbom/
CBOMのフォーマットで出力・集約を行うことで、幅広いレイヤーの情報を一つの形式で一覧化することができ、組織における暗号の利用状況を把握することが容易となります。
また、収集の自動化などをツールで実現することで、暗号に関する情報の鮮度を高い状態に保つことが理想です。
特にアプリケーション開発にDevSecOpsを導入している場合においては、アプリケーションのビルド前の検証時にコードをスキャンし、そのスキャン結果をCBOMとして出力し管理するツールに集約するといった運用が考えられます。
このような実装を行うことで、アプリケーション開発における暗号の利用状況を可視化・脆弱な暗号の利用有無の確認がタイムリーに行うことができます。
最後に
今回はクリプト・インベントリやCBOMの紹介をしました。
具体的なクリプト・インベントリの項目やCBOMの出力について、同じアドベントカレンダーの中で紹介予定です。