知られざる暗号評価プロジェクト CRYPTREC 第4回「選定ルール」

　セキュリティに関わる技術や製品の有効性を、客観的定量的に評価できたら最高以外の何ものでもないが、そこには「どんな事業で」「何を守るために」「どのように運用するか」といった変数が多数存在し、各社千差万別である。

　製品評価に一律の基準を設けることは容易ではないが、ここにセキュリティ技術の優劣を定量的に明確に白黒つけることができる夢の領域が存在した。暗号である。

　暗号はどれだけ時間をかければ破ることができるのか等を、それこそ定量的に計算し算出することができる。だから採用の可否をゼロイチで決めることが可能だ。

　「 CRYPTREC（クリプトレック）」とは、日本政府の暗号の採用可否を助言する複数の会議体の総称である。暗号における評価手法を、そのままセキュリティ製品一般に適用することなどもちろんありえない。しかし、評価がどのような手順で行われ、どのような役割を担った組織分掌が行われているかを知ることは、日々嘘くさいセールストークにうんざりしているセキュリティ製品選定者にとって、もはや一服の清涼剤にすらなるのではあるまいか。そんな目論見のもと ScanNetSecurity 編集人 上野を聞き手に本取材は敢行された。
◇
> 第1回「三つの会議体」
> 第2回「三つの暗号リスト」
> 第3回「リスト入りの基準」

●選定ルール

【独立行政法人情報処理推進機構】次は、利用実績があるかないか、製品化がされているかどうかの判断をどうするか、というところで選定ルールのフレームワークを作りました。暗号技術活用委員会の前身の暗号運用委員会が考えました。

　安全性の評価・実装の評価をクリアすると「推奨候補暗号リスト」に入ります。

　その後に、評価Ａと評価Ｂというふたつの判断基準があります。Ａは利用実績が十分であり、今後も安定的に利用可能であるかどうか、評価Ｂはまだそこまではクリアしていないけれど、今後利用される可能性が高そうかどうかを評価します。

　実際には「市販製品でどれぐらい使われていますか？」「暗号を作った会社だけが使っているわけではなくて、それ以外の会社にもちゃんと供給していますか？」「オープンソースありますか？」「政府で使われていますか？」「国際規格に入っていますか？」などで、まずＡの項目が評価されます。ここで十分だとなれば第二次選定に入ることになります。