エンタープライズ:ニュース 2003/05/24 05:44:00 更新


電子政府推奨暗号リストをまとめたCRYPTREC、次の取り組みは実装面に

情報処理振興事業協会(IPA)と通信・放送機構(TAO)は5月22日、「暗号技術評価プロジェクト(CRYPTREC)」の報告会を開催し、2002年度の活動成果を示した。

 情報処理振興事業協会(IPA)と通信・放送機構(TAO)は5月22日、「暗号技術評価プロジェクト(CRYPTREC)」の報告会を開催。2002年度の活動成果を示すとともに、今後の取り組みについて明らかにした。

 CRYPTRECは、電子政府に推奨できる暗号技術の提示を目指し、技術・専門的な観点から暗号技術の評価を行うプロジェクトで、2000年よりスタートした。暗号技術の評価と標準化を目指したプロジェクトには、他に欧州委員会による「NESSIEプロジェクト」があるが、こちらが産学のコンセンサス作りに主眼を置いていたのに対し、CRYPTRECは電子政府システムへの適用を念頭に置いているという違いがある。

 2002年度は、IPAとTAOが事務局となって技術的な観点から暗号技術の評価を行う「暗号技術評価委員会」と、総務省と経済産業省を事務局とし、電子政府での利用をにらんで政策的判断を行う「暗号技術検討会」の2つを軸に活動が進められた。そのゴールは、電子政府において利用可能な暗号技術を決定し、リストアップすることだ。

 暗号技術検討会座長と暗号技術評価委員会委員長を兼ねる今井秀樹氏(東京大学教授)は、CRYPTRECというプロジェクトが求められた背景を次のように説明した。「暗号技術は情報セキュリティを支える上で不可欠なもの。しかし3〜4年前にはCRYPTRECのような試みが存在せず、具体的にどの暗号技術を採用すべきかが不明瞭で、結果としてベンダーの言うままに政府調達が行われることもあった」(同氏)。

CRYPTREC

CRYPTRECを中心となって進めてきた東京大学教授の今井秀樹氏(中)。左は東京理科大学教授の金子敏信氏、右は中央大学教授の辻井重男氏


 例えば、セキュリティ機能や品質が過不足なく満たされていることを評価・保証するための標準としてはISO/IEC15408があり、昨今、セキュリティ製品の選定・調達時に用いられるようになってきた。しかし「この中では“暗号技術を利用するように”という記述はあるが、具体的に踏み込まれていない」(今井氏)。

 そこで暗号技術評価委員会では、公募なども含めた85の暗号技術について、公開鍵暗号と共通鍵暗号、ハッシュ方式、擬似乱数生成系という4つの分野に分けて評価。うち29の暗号技術を、電子政府推奨暗号としてリストアップした。将来的な計算機技術の発展を織り込んでも、10年間は解読されることなく安心して利用できることを基準にしたという。

 各省庁は今年2月、このリスト提示を受けて、「各府省の情報システム調達における暗号の利用方針」について合意。この中では、電子政府システムでは暗号の利用が不可欠であることを示すとともに、可能な限り「電子政府推奨暗号リスト」に掲載された暗号の利用を推進することが明記された。さらに、実際のシステム調達を円滑に進めるための「暗号調達のためのガイドブック」もまとめられている。

 とは言うものの暗号技術は、今現在安全だからといって、将来も安全であるとは限らない。そこでCRYPTRECは今後も、継続的に暗号技術評価・改定を行っていく計画だ。

 合わせて、これら暗号技術を搭載した暗号製品(暗号モジュール)に対する評価・試験基準の作成や暗号プロトコルといった分野にも取り組んでいく。「たとえ暗号方法が良いものでも、現実には実装のミスから破られることが多い。暗号アルゴリズムとともに、実装や扱い方も重要だ」(今井氏)といい、2005年3月をめどにこれらの基準を策定する方針だ。

 今井氏はまた、電子政府のみならず、一般でもCRYPTRECの成果を活用してほしいとしている。ちょうどセキュリティポリシーの有無やISO15408/17799への準拠が、セキュリティへの取り組みを判断する指針の1つとなっているように、「CRYPTRECでリストアップした暗号を使っているかどうかが、組織のセキュリティに対する姿勢の試金石の1つになる」(今井氏)という。

関連リンク
▼IPA(CRYPTREC)
▼TAO(CRYPTREC)

[高橋睦美,ITmedia]