IT関連において政府が行うことで賛同できることは数えるほどしかないが、ここ数年で非常に評価できる活動があるとすれば、CRYPTRECの活動ではないだろうか? 少なくとも情報セキュリティに携わる者として、この成果をどのように生かしていくか? ということを考えてみようと思い、このようなタイトルを付けてみたのだ。
過去に政府が声高に宣言しても、結果的に何も変わらなかったといったことを何度も見ているが、CRYPTRECに限っては、非常にうまく進んでいるといった印象を持っている。おそらく、政府が進めている政策で、目標どおりに活動できているのは、唯一CRYPTRECだけじゃないだろうか(あえて、電子政府やe-Japan重点計画とはいわない)?
@IT読者の皆さんの中には、IPAのセキュリティセンターのWebサイトを普段から見られている方も多いと思われるが、その中のCRYPTRECのページを見ている人は、どの程度いるのだろうか? また同様に、暗号に関する技術情報を掲載しているWebサイトはどうだろう? これはWebサイト自体をあまり見たことがない。ということは、このタイトルも間違いだったかもしれない。CRYPTRECという名称が、どこまで普及しているのか? 考えてみれば私自身、CRYPTRECが何をしているプロジェクトで、どんな人が参加して、どんな意味があるのかを理解している人がどの程度いるのか分からずに、この原稿を書いている。
あらためて説明すると、CRYPTRECは電子政府で利用される推奨暗号リストの作成プロジェクトチームのことである。しかし厳密にいえば、CRYPTRECはそのほかにも検討や助言を行うプロジェクトであり、具体的には、以下の検討事項を実施するプロジェクトであることを知っておいてほしい。
- 電子政府推奨暗号リストの作成
- 電子署名法に基づいて利用される暗号に関する助言
- 暗号技術に関する国際標準化への対応
こんなことは、周知の事実だといわれる方もおられるだろうが、では、CRYPTRECは何の略称なのかをご存じだろうか? 2000年は、CRYPTography Research and Evaluation Committeeの略称であったが、2001年に、CRYPTography Research and Evaluation Committeesの略称に変更されたのだ。なぜ複数になったかというと、元からあった暗号技術評価委員会に暗号技術検討会を含めたことで、改変されたということだ。検討する範囲が広いため一概にはいえないが、暗号技術検討会が政策的検討を行い、暗号技術評価委員会が技術評価を行うという。
このころから、研究家が続々と参加し、猛スピードで暗号技術評価に必要な公正性、透明性を確立していったと私は見ている。プロジェクト参加者も、当時を振り返ると、あの人も、この人も……という感じで、著名な方は大体参加されていた。有名な暗号書籍の著者は初めから参加されていたが、暗号設計や解析で著名な研究家までもが参加していたことには驚いた。いま思い起こせば、以前暗号関連書籍の在庫があった書店でも「その本は、在庫切れです」といわれたこともあり、これはCRYPTRECのせいだろうかと思ったこともあった。
確かに、あれだけ著名な研究家たちの力を合わせれば、成果を上げることは予測できただろうが、そこまでの人材を集め技術の粋を尽くした成果を、実際に暗号技術を利用する立場にいる者としては、有効に生かせているのか? と考えてしまう。
CRYPTRECの成果、特に電子政府推奨暗号リストの生かし方を考えるには、暗号製品に使われる暗号アルゴリズムが何なのかを正確に把握することから始めるとよいだろう。逆のいい方をすれば、一定の評価を得た安全だとされる暗号アルゴリズムが分かったとしても、それを利用している製品が分からないと、いまひとつピンとこないのではないか? 利用者としては、CRYPTRECを基とした暗号関連製品リストを早く更新してほしいと考えるのではないか? 現状は、CRYPTRECが公表する暗号リストに入っていない暗号アルゴリズムを利用した製品やシステムも暗号関連製品としてリストアップされているので、本来であれば、同期されていることが望ましいと思う。また、暗号関連製品リストには、暗号ライブラリ類の調査項目として、Crypto-API(電子政府PKI アプリケーション構築のためのPKI ライブラリのAPI)の項目があるのだろうかという心配もある。CRYPTRECで検討されていたのは、暗号技術の理論であって、製品仕様ではないが、製品として提供されるときに、どうなのかということも重要だろう。自分で調べればいいことだが、あればあったで非常に便利だと思う。
次に考えなければいけないことは、CRYPTRECが公開する暗号リストを参照し、安全だとされる暗号アルゴリズムを利用した場合でも、製品やシステムが安全であるとはいい切れないことだろう。当然な話だが、暗号アルゴリズムは情報セキュリティにとっては重要な技術であるが、システム開発から見れば単なるパーツでしかないということだ。電子政府でいえば、ISO/IEC 15408(CC:Common Criteria)も同時に検討されるが、一般の利用者にとっては、コストが高くなるのではないかという疑問もある。自社の基幹システムが、他社の基幹システムと同じであり、その基幹システムがCCのEAL3を取得している、というような状況はまず考えられないだろう。
暗号技術は、重要な根幹技術である。そのため、公開の場で検討されるべきだが、その技術を利用するシステム開発は、特定のメンバーで検討される。しかも、システム情報は、安全性を重んじて隠ぺいすることが通常であろう。このような検討方法の特性を考慮して、どのような技術情報を、どのようなメンバーで検討するかということもシステム開発にとっては重要になるだろう。
それ以外にも考えなければいけないことはいろいろあるが、昔から情報セキュリティに関心を示す人はいても、暗号技術に関心がある人は少ない。難解な数理を扱っているため、理解できないということもあって、なぜか知らないところで議論されている「分からないモノ」とされてしまう。この状況でもしょうがないだろうが、確立され始めた評価の透明性を「監視しよう」という気概くらいは必要ではないかと思う。
Profile
貴内晴文(きうちはるふみ)
1972年生まれ、神奈川県出身。 某企業のシステム管理部で基幹システムに従事。 その後、情報セキュリティ関係の業務を行う。 現在はフリーでコンサルタントやライターとして、情報セキュリティや暗号技術の情報収集を行っている。
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.