セミナーレポート

10年ぶりの政府推奨暗号改定、その行方

CRYPTRECシンポジウム2013が開催される

2013/4/22

 電子政府で利用すべき暗号技術をリストアップするプロジェクトであるCRYPTREC。2013年3月26日、コクヨホールで「CRYPTRECシンポジウム2013」が開催された。

 共通鍵、公開鍵、ハッシュ関数などについて、電子政府が利用すべき暗号技術である「電子政府推奨暗号リスト」が制定されたのは2003年。この間、リストアップされた暗号技術の危殆化などもあり、今回10年ぶりにリストが改定された。これについて、官民様々な意見が交わされた。

200名以上が集まったCRYPTRECシンポジウム
200名以上が集まったCRYPTRECシンポジウム

10年振りの暗号リスト改定


 2009年度から始まった電子政府推奨暗号リストの改定では、まず「安全性評価/実装評価」が行われ、既存のリストにある暗号の安全性、実装面の評価がなされた。また新たに応募された暗号に対しては、すでにリストにある暗号よりも技術的に何かしら優れた点があるかどうかを判断する「技術優位性評価」で選別した。


 「安全性評価/実装評価」や「技術優位性評価」で選定された暗号のうち、市販製品での利用実績や、オープンソースプロジェクトでの採用実績を評価された暗号、さらに、利用実績が少ないが将来的に利用が見込まれそうな暗号をピックアップ。この中から最終的な評価を経て今回の「電子政府推奨暗号リスト」が定められた。


 つまり、選定されたリスト候補の暗号技術でも「電子政府推奨暗号リスト」に定められた暗号は、中央省庁がセキュリティを導入する際に入れるべき技術が掲載されている「1軍レギュラー」である。


 様々な評価基準で選定されつつも「電子政府推奨暗号リスト」から外れた暗号は、それぞれ「推奨候補暗号リスト」「運用監視暗号リスト」に分けられている。


 「推奨候補暗号リスト」は、レギュラー入りの可能性を含めた「1軍控え」になっている暗号。CRYPTRECによって安全性が確認されているもので、製品としての販売実績などによっては「電子政府推奨暗号リスト」になりうるもの。逆に「運用監視暗号リスト」は、解読される危険性が高く、互換性維持以外では推奨しない暗号。2軍で戦力外通告直前、といったものだ。


 ただ、1軍レギュラーとなっている暗号技術も、解読の危険性が高まれば、その都度「運用監視暗号リスト」になり、リストから削除される。


今後の活動


 こうして一旦リストの見直し作業が終わったCRYPTRECだが、リストアップされた暗号に解読の危険性がないかどうか、継続的な監視が必要となってくる。


 また、次世代暗号の模索も同時に検討していくという。中央大学の今井秀樹教授は、「現在研究段階といわれている量子コンピュータが完成すると、既存のリストにある公開鍵は全て解読の恐れがあるものになる。耐量子計算機暗号などの公募や、軽量暗号の採用も検討している」と将来展望を述べた。


 「CRYPTREC2012」では、「メーカーの暗号に国のお墨付きを与えるのではなく、いかに国が安く暗号を調達できるかどうか」というコンセプトで暗号技術のリストアップを行ってきた。しかし、今後は国際標準の取得も含め、手広く暗号技術の認定を行っていくようだ。


 軽量暗号はスマートフォンなど、限られたスペックで使うことを想定しているもの。来場者からの「電子政府の推奨暗号なのになぜ軽量暗号を取り上げていくのか」といった質問に、「安全性を見るのが本筋だが、民間企業にも使ってもらえるようなリストにしたい」と今井教授は答えた。

今回のCRYPTRECシンポジウム2013では
記者会見も行われた   Chikirin氏のブログを引用して
暗号の展望を語る岩下直行氏
今回のCRYPTRECシンポジウム2013では 記者会見も行われた   Chikirin氏のブログを引用して 暗号の展望を語る岩下直行氏

 CRYPTRECからの報告後、官民のパネルディスカッションが行われた。通信インフラの利用層が拡大するほど、暗号技術は必要になってくる一方、アプリケーションとは異なる、現在利用している暗号アルゴリズムを移行する際の手間やコスト負担も話題に挙がった。  コスト負担の在り方について、総務省行政管理局の澤田稔一氏は「政府としてきちんとした基準のもとでやっている、というのが最重要事項。(リストをもとにした)統一基準のもとで、無理と無駄のない予算とスケジュールを組んでいくことが理想」と述べた。


何のための「リスト」なのか


 一方、日銀出身で日立製作所に出向している岩下直行氏は、CRYPTRECのリストを「絞り込みは行えている」とした上で、暗号の展望に言及。著名なブロガー、Chikirin氏の記事を引用しながら「『日本の優れた暗号技術力を活用して産業の競争力を向上させよう』というのは、供給者目線」と指摘。利害を共にする企業が、自社の強みを囲い込むのではなく、お互いに持ち寄って、全体として「すごいもの」を目指すことが「競争力を持ってマーケットで勝ち抜く本質なのでは」と岩下氏は主張した。


 また、暗号の位置づけを建築に例えたのは、富士通研究所の伊豆哲也氏だ。「CRYPTRECでリストアップされた暗号は、家造りで言えば『いいネジを選んでいる』ようなもの。ネジだけしっかりしていても、設計書や建築基準、これらをしっかりわかって設計できる建築士という役割も必要」と述べ、暗号だけにこだわることには慎重な姿勢を示した。「システム構築全体からすると、暗号は単体で(マーケットで)勝負できるものではないから、クラウドなど、他の技術と組み合わせて提案する総合力が問われるのではないか」と、暗号がビジネスモデルとしてどうあるべきかを述べた。


 今回のCRYPTRECシンポジウムでは、講演とは別途で記者会見を行われた。このような取り組みは「CRYPTREC始まって以来初めて」(今井教授)だというから、IPAとNICTの暗号について広く知ってもらいたいという意思がどれほど強いかが知れる。リストアップ作業を終えたCRYPTRECの活動が、今後どのような形で世間に還元されていくのか。見守っていきたい。

(中西 啓)

【セミナーデータ】

イベント名
:CRYPTRECシンポジウム2013
主催   
:情報処理推進機構(IPA)、情報通信研究機構(NICT)
開催日  
:2013年3月26日
開催場所 
:コクヨホール(東京都港区)

【関連カテゴリ】

情報セキュリティIT政策