連載
» 2003年02月06日 10時00分 公開

Security&Trust ウォッチ(10):本当のところ、CRYPTRECは活用されているのか?

[貴内晴文,@IT]

 IT関連において政府が行うことで賛同できることは数えるほどしかないが、ここ数年で非常に評価できる活動があるとすれば、CRYPTRECの活動ではないだろうか? 少なくとも情報セキュリティに携わる者として、この成果をどのように生かしていくか? ということを考えてみようと思い、このようなタイトルを付けてみたのだ。

 過去に政府が声高に宣言しても、結果的に何も変わらなかったといったことを何度も見ているが、CRYPTRECに限っては、非常にうまく進んでいるといった印象を持っている。おそらく、政府が進めている政策で、目標どおりに活動できているのは、唯一CRYPTRECだけじゃないだろうか(あえて、電子政府やe-Japan重点計画とはいわない)?

 @IT読者の皆さんの中には、IPAのセキュリティセンターのWebサイトを普段から見られている方も多いと思われるが、その中のCRYPTRECのページを見ている人は、どの程度いるのだろうか? また同様に、暗号に関する技術情報を掲載しているWebサイトはどうだろう? これはWebサイト自体をあまり見たことがない。ということは、このタイトルも間違いだったかもしれない。CRYPTRECという名称が、どこまで普及しているのか? 考えてみれば私自身、CRYPTRECが何をしているプロジェクトで、どんな人が参加して、どんな意味があるのかを理解している人がどの程度いるのか分からずに、この原稿を書いている。

 あらためて説明すると、CRYPTRECは電子政府で利用される推奨暗号リストの作成プロジェクトチームのことである。しかし厳密にいえば、CRYPTRECはそのほかにも検討や助言を行うプロジェクトであり、具体的には、以下の検討事項を実施するプロジェクトであることを知っておいてほしい。

  • 電子政府推奨暗号リストの作成
  • 電子署名法に基づいて利用される暗号に関する助言
  • 暗号技術に関する国際標準化への対応

 こんなことは、周知の事実だといわれる方もおられるだろうが、では、CRYPTRECは何の略称なのかをご存じだろうか? 2000年は、CRYPTography Research and Evaluation Committeeの略称であったが、2001年に、CRYPTography Research and Evaluation Committeesの略称に変更されたのだ。なぜ複数になったかというと、元からあった暗号技術評価委員会に暗号技術検討会を含めたことで、改変されたということだ。検討する範囲が広いため一概にはいえないが、暗号技術検討会が政策的検討を行い、暗号技術評価委員会が技術評価を行うという。

 このころから、研究家が続々と参加し、猛スピードで暗号技術評価に必要な公正性、透明性を確立していったと私は見ている。プロジェクト参加者も、当時を振り返ると、あの人も、この人も……という感じで、著名な方は大体参加されていた。有名な暗号書籍の著者は初めから参加されていたが、暗号設計や解析で著名な研究家までもが参加していたことには驚いた。いま思い起こせば、以前暗号関連書籍の在庫があった書店でも「その本は、在庫切れです」といわれたこともあり、これはCRYPTRECのせいだろうかと思ったこともあった。

 確かに、あれだけ著名な研究家たちの力を合わせれば、成果を上げることは予測できただろうが、そこまでの人材を集め技術の粋を尽くした成果を、実際に暗号技術を利用する立場にいる者としては、有効に生かせているのか? と考えてしまう。

 CRYPTRECの成果、特に電子政府推奨暗号リストの生かし方を考えるには、暗号製品に使われる暗号アルゴリズムが何なのかを正確に把握することから始めるとよいだろう。逆のいい方をすれば、一定の評価を得た安全だとされる暗号アルゴリズムが分かったとしても、それを利用している製品が分からないと、いまひとつピンとこないのではないか? 利用者としては、CRYPTRECを基とした暗号関連製品リストを早く更新してほしいと考えるのではないか? 現状は、CRYPTRECが公表する暗号リストに入っていない暗号アルゴリズムを利用した製品やシステムも暗号関連製品としてリストアップされているので、本来であれば、同期されていることが望ましいと思う。また、暗号関連製品リストには、暗号ライブラリ類の調査項目として、Crypto-API(電子政府PKI アプリケーション構築のためのPKI ライブラリのAPI)の項目があるのだろうかという心配もある。CRYPTRECで検討されていたのは、暗号技術の理論であって、製品仕様ではないが、製品として提供されるときに、どうなのかということも重要だろう。自分で調べればいいことだが、あればあったで非常に便利だと思う。

 次に考えなければいけないことは、CRYPTRECが公開する暗号リストを参照し、安全だとされる暗号アルゴリズムを利用した場合でも、製品やシステムが安全であるとはいい切れないことだろう。当然な話だが、暗号アルゴリズムは情報セキュリティにとっては重要な技術であるが、システム開発から見れば単なるパーツでしかないということだ。電子政府でいえば、ISO/IEC 15408(CC:Common Criteria)も同時に検討されるが、一般の利用者にとっては、コストが高くなるのではないかという疑問もある。自社の基幹システムが、他社の基幹システムと同じであり、その基幹システムがCCのEAL3を取得している、というような状況はまず考えられないだろう。

 暗号技術は、重要な根幹技術である。そのため、公開の場で検討されるべきだが、その技術を利用するシステム開発は、特定のメンバーで検討される。しかも、システム情報は、安全性を重んじて隠ぺいすることが通常であろう。このような検討方法の特性を考慮して、どのような技術情報を、どのようなメンバーで検討するかということもシステム開発にとっては重要になるだろう。

 それ以外にも考えなければいけないことはいろいろあるが、昔から情報セキュリティに関心を示す人はいても、暗号技術に関心がある人は少ない。難解な数理を扱っているため、理解できないということもあって、なぜか知らないところで議論されている「分からないモノ」とされてしまう。この状況でもしょうがないだろうが、確立され始めた評価の透明性を「監視しよう」という気概くらいは必要ではないかと思う。


Profile

貴内晴文(きうちはるふみ)

1972年生まれ、神奈川県出身。 某企業のシステム管理部で基幹システムに従事。 その後、情報セキュリティ関係の業務を行う。 現在はフリーでコンサルタントやライターとして、情報セキュリティや暗号技術の情報収集を行っている。


「SecurityTrust ウォッチ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

編集部からのお知らせ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。