知られざる暗号評価プロジェクト CRYPTREC 第3回「リスト入りの基準」

　セキュリティに関わる技術や製品の有効性を、客観的定量的に評価できたら最高以外の何ものでもないが、そこには「どんな事業で」「何を守るために」「どのように運用するか」といった変数が多数存在し、各社千差万別である。

　製品評価に一律の基準を設けることは容易ではないが、ここにセキュリティ技術の優劣を定量的に明確に白黒つけることができる夢の領域が存在した。暗号である。

　暗号はどれだけ時間をかければ破ることができるのか等を、それこそ定量的に計算し算出することができる。だから採用の可否をゼロイチで決めることが可能だ。

　「 CRYPTREC（クリプトレック）」とは、日本政府の暗号の採用可否を助言する複数の会議体の総称である。暗号における評価手法を、そのままセキュリティ製品一般に適用することなどもちろんありえない。しかし、評価がどのような手順で行われ、どのような役割を担った組織分掌が行われているかを知ることは、日々嘘くさいセールストークにうんざりしているセキュリティ製品選定者にとって、もはや一服の清涼剤にすらなるのではあるまいか。そんな目論見のもと ScanNetSecurity 編集人 上野を聞き手に本取材は敢行された。
◇
> 第1回「三つの会議体」
> 第2回「三つの暗号リスト」

●暗号の選定プロセス

──暗号はどういう基準や審査を経てリストに入るのですか？

【独立行政法人情報処理推進機構】CRYPTREC 暗号リストは「公募」と「国際標準」というふたつの基準で作成します。

　2009 年の時は公募を行いました。

　「こういう技術を募集します。これこれこういう条件を満たした暗号を提案してください。いつまでに応募してください」と、アナウンスしました。そこで応募してくる暗号があります。逆に言えば、提案がないと何もスタートしません。

　もう一つは国際標準で、別に提案者はいないけれど、例えば AES とか RSA が使えないと、すごく困ってしまいます。そういう状態なので ISO、ITU、IETF などで国際標準になっていて、現実には広く使われている、あるいは使われる可能性がある暗号については事務局が推薦して選びます。

　この二つが入り口です。リストに入れるかどうかの検討対象となる暗号の候補になります。