CRYPTREC暗号リストとは?
CRYPTREC暗号リストとは、日本政府が安全性を評価し、電子政府や企業システムで利用することを推奨する暗号技術をまとめたリストです。CRYPTREC(Cryptography Research and Evaluation Committees)は、総務省と経済産業省が中心となり、暗号技術の安全性評価や運用方針を検討するプロジェクトとして設立されました。
このリストは、電子政府で安全に利用できる暗号方式を示す基準として整備されており、「電子政府推奨暗号リスト」「推奨候補暗号リスト」「運用監視暗号リスト」の3種類で構成されています。企業が暗号化技術を選定する際にも参考にされることが多く、日本における暗号技術の指針として活用されています。
CRYPTREC暗号リストの3つの分類
CRYPTREC暗号リストは、暗号技術の安全性や普及状況に応じて3つの種類に分類されています。ここでは、それぞれのリストの特徴と代表的な暗号技術について解説します。
利用実績が十分な「電子政府推奨暗号リスト」
電子政府推奨暗号リストとは、CRYPTRECによって安全性や実装性能が認められた暗号技術のリストです。その一部を以下に紹介します。
- DSA
- 公開鍵暗号方式の署名技術
- AES
- 共通鍵暗号方式の128 ビットブロック暗号化技術
- ISO/IEC 9798-2
- エンティティ認証技術
- SHA-256
- ハッシュ関数
今後普及の見込みがある「推奨候補暗号リスト」
推奨候補暗号リストは、今後電子政府推奨暗号リストに加えられる可能性が高い技術のリストです。その一部を以下に紹介します。
- PSEC-KEM
- 公開鍵暗号方式の鍵共有技術
- CLEFIA
- 共通鍵暗号方式の128 ビットブロック暗号化技術
- ISO/IEC 9798-4
- エンティティ認証技術
- SHA-512/256
- ハッシュ関数
互換性維持目的で利用する「運用監視暗号リスト」
解読されるリスクが高まり、運用を推奨すべきではなくなった暗号化技術も少なくありません。しかし、その中には互換性維持のために利用を容認されるものもあります。そのような技術をリストアップしたのが運用監視暗号リストです。その一部を以下に紹介します。
- 128-bit RC4
- 共通鍵暗号方式のストリーム暗号化技術
- RIPEMD-160
- ハッシュ関数
- SHA-1
- ハッシュ関数
- CBC-MAC
- メッセージ認証コード符号生成技術
電子政府推奨暗号などの基準に対応するには、暗号技術の選定だけでなく、継続的な管理体制が重要です。 その一環として、暗号化ソフトを活用する企業も増えています。「自社に合う暗号化ソフトを診断してみたい」、「どんな観点で選べばいいかわからない」という方向けの診断ページもあります。
CRYPTREC暗号リストへ改定された背景は?
電子政府推奨暗号リストは2003年に作成されたリストです。10年後まで安心して利用できる技術がリストアップされました。
そして、2013年で10年が経過。その間に計算機や暗号解読技術の進歩があり、電子政府推奨暗号リストの技術では安全性を確保できなくなりました。そこで、2013年に電子政府推奨暗号リストはCRYPTREC暗号リストに改定されたのです。
CRYPTREC暗号リストは従来の電子政府推奨暗号リストだけでなく、新たな2つの観点を加えて3つのリストから構成されています。
暗号の安全性評価と安全リスト改定|CRYPTRECNICT NEWS
企業によるCRYPTREC暗号リスト活用の現状
企業では、CRYPTREC暗号リストはどのように活用されているのでしょうか。
アルゴリズムの選択肢が限られている
暗号化アルゴリズムとは、暗号化の手順のことです。
セキュリティ製品のベンダーは、暗号化アルゴリズムの利用方法は知っていていも、アルゴリズムそのものについては熟知していないことが多いです。一定水準以上のものであれば、どれを選んでも変わらないと考えられています。
そのため、ベンダーはアルゴリズムの性質ではなく、実装しやすさや、国際標準化されているかによって選択しがちです。CRYPTREC暗号リストはあまり重視されていないと言えるでしょう。
ノウハウを持った人材が不足している
暗号化アルゴリズムについては、以下のようなノウハウを持った人材が不足しています。
- 経営的視点と技術的視点をあわせ持った人材
- 標準化や普及などの展開戦略に関するノウハウを持った人材が日本には少ないと言われています。このためCRYPTREC暗号リストの普及が進まず、一部の暗号化アルゴリズムばかりが使われるようになっています。
- 暗号化アルゴリズムとシステムをつなぐ人材
- 暗号化アルゴリズムをセキュリティシステムに適切に適用するには、両者を熟知した人材が必要です。しかし、その人材が少ないため、アルゴリズムに問題がなくても脆弱性が生じたり、トラブル発生時の対応が遅れたりします。
暗号ライブラリ市場の成長が鈍化している
暗号ライブラリは暗号アルゴリズムの主な実装先です。この暗号ライブラリの需要が減少しており、市場の成長が鈍化しています。したがって、暗号アルゴリズムの需要も減少しました。
近年のソフトウェアには、OSやオープンソースに搭載されている暗号アルゴリズムが使われるようになってきています。暗号ライブラリをソフトウェアに組み込むのは手間がかかるため、初めから用意されている暗号機能を使うことが多いのです。
したがって、暗号ライブラリの開発はビジネスとして成立せず、開発を行うベンダーは減少の一途をたどっています。
CRYPTREC暗号リストに関するよくある質問(FAQ)
CRYPTREC暗号リストや電子政府推奨暗号については、暗号技術の仕組みや役割が分かりにくいと感じる方も多いでしょう。ここでは、CRYPTRECの概要や暗号リストの意味、企業での活用方法など、よくある疑問をQ&A形式でわかりやすく解説します。
CRYPTRECとは何ですか?
CRYPTREC(Cryptography Research and Evaluation Committees)とは、日本政府が暗号技術の安全性を評価するために設立したプロジェクトです。総務省と経済産業省が中心となり、安全に利用できる暗号技術の調査や評価、暗号リストの整備などを行っています。
CRYPTREC暗号リストとは何ですか?
CRYPTREC暗号リストとは、日本政府が安全性を評価した暗号アルゴリズムをまとめたリストです。電子政府システムで利用する暗号技術の指針として作成されており、「電子政府推奨暗号リスト」「推奨候補暗号リスト」「運用監視暗号リスト」の3種類に分類されています。
電子政府推奨暗号とは何ですか?
電子政府推奨暗号とは、CRYPTRECによって安全性や実装性能が評価され、電子政府システムでの利用が推奨されている暗号技術のことです。AESやSHA-256など、現在でも多くのシステムで利用されている暗号アルゴリズムが含まれています。
運用監視暗号リストとは何ですか?
運用監視暗号リストとは、安全性の観点から新規利用は推奨されないものの、既存システムとの互換性維持のために利用が容認されている暗号技術をまとめたリストです。将来的には利用停止が検討される可能性があります。
企業でもCRYPTREC暗号リストを参考にするべきですか?
企業システムでも、暗号化方式を選定する際にCRYPTREC暗号リストを参考にすることが推奨されています。政府が安全性を評価した暗号アルゴリズムを採用することで、情報漏えい対策やセキュリティ強化につながります。
CRYPTREC暗号リストを知り暗号化への理解を深めよう
CRYPTRECとは暗号化の適切な運用や安全性の監視を行うプロジェクトです。CRYPTRECで作成されたリストをCRYPTREC暗号リストと言い、以下の3つにより構成されています。
- ■電子政府推奨暗号リスト
- ■推奨候補暗号リスト
- ■運用監視暗号リスト
企業のCRYPTREC暗号リストの活用現状は以下のとおりです。
- ■アルゴリズムの選択肢が限定的
- ■ノウハウを持つ人材の不足
- ■市場成長が鈍化
暗号化への理解を深める参考にしてください。
