1. 序論:国家安全保障とデジタル社会基盤としての暗号政策
1.1 背景と戦略的意義
現代の高度情報通信ネットワーク社会において、電子政府(e-Government)や電子商取引(e-Commerce)、さらには電力・金融・通信といった重要インフラシステムの安全性は、国家の安全保障および経済活動の継続性に直結する最重要課題の一つである。これらのシステム上で流通する情報の機密性(Confidentiality)、完全性(Integrity)、および可用性(Availability)を担保する中核技術が「暗号」である。しかし、暗号技術は数学的な困難性に依存しており、計算機能力の向上や新たな解読理論の発見によって、その安全性が経年的に低下(危殆化)する宿命にある。
日本政府は、電子政府の構築に向けたセキュリティ基盤を確立するため、2000年代初頭より暗号技術の安全性評価に着手した。その具体的かつ中心的な取り組みが CRYPTREC (Cryptography Research and Evaluation Committees) プロジェクトである 。CRYPTRECは単なる技術評価機関にとどまらず、日本政府が調達する情報システムにおいて採用すべき暗号技術の選定(スクリーニング)、継続的な監視(モニタリング)、そして安全な運用(オペレーション)を包括的に所管する国家プロジェクトとしての地位を確立している 。
1.2 プロジェクトの目的と基本理念
CRYPTRECの設立目的は、客観的かつ専門的な技術評価を通じて「電子政府推奨暗号リスト」を策定し、政府機関が安心して利用できる技術的指針を提供することにある 。これは、各省庁が個別に技術評価を行うことによる行政コストの重複を排除し、国全体としてのセキュリティ水準を均質化・高度化させるための戦略的な枠組みである。
その基本理念は以下の三点に集約される。
- 客観性と透明性: 特定のベンダーや技術に偏ることなく、学会や産業界のトップエキスパートによる公正な評価を行う。
- 継続的な監視: 技術を選定して終わりではなく、常に最新の攻撃手法や計算機技術の進歩を監視し、危殆化の予兆を早期に検知する 。
- 実装と運用の重視: 理論的な安全性だけでなく、実際のシステムに組み込んだ際の実装性能や、鍵管理などの運用面における安全性も評価対象とする 。
2. ガバナンス構造と組織の変遷
宍戸/情報セキュリティマネジメント主任専門官CRYPTRECの運営体制は、行政による政策決定と、研究機関による技術的裏付けが有機的に連携する「3省庁・2独法」の構造を特徴としている。この体制は、時代の要請とともに柔軟に変化してきた。
2.1 運営主体:3省庁体制の確立
現在のCRYPTRECは、以下の3省庁が共同で運営している。
- デジタル庁: 2021年の発足に伴い参画。政府情報システムの整備・管理における基本方針(統一基準等)の策定を担い、CRYPTRECの成果物を政府調達の必須要件として位置づける政策的な司令塔の役割を果たす 。
- 総務省: 情報通信政策を所管し、ネットワークセキュリティの観点から暗号技術の評価・標準化に関与する。特にNICT(情報通信研究機構)との連携を通じて技術的基盤を支える。
- 経済産業省: 産業政策を所管し、情報セキュリティ産業の育成や、日本発の暗号技術(Camellia等)の国際標準化、IPA(情報処理推進機構)を通じた産業界への普及促進を担う。
2.2 事務局と技術支援機関:2独法の役割
実質的な調査・評価活動は、以下の2つの国立研究開発法人・独立行政法人が事務局として遂行している。
- 国立研究開発法人 情報通信研究機構 (NICT): 暗号理論、数論アルゴリズム、量子暗号などの基礎研究・先端研究を背景に、理論的な安全性評価の中核を担う。
- 独立行政法人 情報処理推進機構 (IPA): ソフトウェアエンジニアリングやセキュリティ対策の実務を背景に、実装性能の評価、暗号モジュールの試験、およびガイドラインの策定・普及啓発を担う。
2.3 委員会の組織構造と変遷
CRYPTRECの内部組織は、その時々の技術的課題に対応するために再編を繰り返してきた。
(1) 初期(2000年〜2012年):評価と監視の分離
プロジェクト発足当初は、「暗号技術評価委員会」が新規技術の公募・選定を行い、「暗号技術監視委員会」(2003-2008)が既存技術の安全性を監視するという役割分担がなされていた 。また、ハードウェアやソフトウェアへの実装品質を担保するため「暗号モジュール委員会」(2003-2008)や「暗号実装委員会」(2009-2012)が設置され、現在のJCMVP(暗号モジュール試験及び認証制度)の基礎となる検討が行われた。
(2) 現在(2013年以降):活用と運用の時代へ
電子政府推奨暗号リストがある程度固定化され、運用フェーズに入った2013年以降、組織は「暗号技術検討会」を頂点とする以下の2委員会体制に再編された。
- 暗号技術検討会: CRYPTRECの意思決定機関。3省庁の室長級および学識経験者で構成され、委員会からの報告を受けて暗号リストの改定や政策的な承認を行う 。
- 暗号技術評価委員会:技術的な評価・監視の実務部隊。
- 主な任務: 暗号技術の安全性評価、新規技術(軽量暗号、PQCなど)の調査、外部評価の実施。
- ワーキンググループ (WG): 専門的なトピックを扱うために、下部組織として「暗号技術調査WG(耐量子計算機暗号)」などが設置されている 。
- 暗号技術活用委員会:評価された技術の社会実装と運用支援を担う。
- 主な任務: 暗号鍵管理ガイダンスの策定、SSL/TLS設定ガイドラインの作成、運用面での安全性向上策の検討。
この組織改編は、単に「安全な暗号を選ぶ」段階から、「選んだ暗号を正しく使い続ける」段階へと、日本の暗号政策の重点がシフトしたことを象徴している。
3. CRYPTREC暗号リスト:構造的分析と詳細
宍戸/情報セキュリティマネジメント主任専門官CRYPTRECの活動の結晶とも言えるのが「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」である。このリストは、政府機関のシステム調達において事実上の強制力を持つ「調達基準」として機能している。リストは技術の成熟度と安全性に応じて明確に3つのカテゴリに分類されており、それぞれの位置づけを理解することが重要である。
3.1 電子政府推奨暗号リスト (Recommended Ciphers List)
最も信頼性が高く、現在および将来の政府システムにおいて利用が推奨される技術群である。
- 選定基準: CRYPTRECによる厳格な安全性評価と実装性能評価をクリアし、かつ「市場における利用実績が十分である」または「今後の普及が見込まれる」と判断されたもの 。
- 利用の義務: 政府機関のシステム構築においては、特段の理由がない限り、本リストに掲載された暗号技術を採用することが求められる。
- 技術的要件: リストに掲載されているだけでなく、後述する「暗号強度要件」に合致する鍵長(パラメータ)で使用しなければならない。
3.2 推奨候補暗号リスト (Candidate Ciphers List)
安全性と実装性能は確認されているものの、市場実績等の観点から「推奨暗号」には至らない技術群である。
- 位置づけ: 今後、推奨暗号に昇格する可能性がある「予備軍」であると同時に、特定のニッチな用途(超軽量実装など)において有用な技術が含まれる。
- 利用の判断: 推奨暗号が利用できない特殊な制約がある場合などに、代替案として検討される。
3.3 運用監視暗号リスト (Monitored Ciphers List)
かつては推奨されていたが、安全性の低下や時代の変化により、推奨レベルから外れた技術群である。
- 定義: 実際に解読されるリスクが高まるなど、推奨すべき状態ではないと確認されたもの。ただし、既存システムとの「互換性維持」のためにのみ継続利用が容認される 。
- 利用制限: 新規システムでの採用は原則として認められない。これらは「移行対象(Migration Target)」として扱われ、可能な限り速やかに推奨暗号へ移行することが求められる。
3.4 主要アルゴリズムの分類状況(2024年現在)
以下に、最新のリスト(LS-0001-2022R1)に基づく主要なアルゴリズムの分類を示す 。
| 技術分類 | アルゴリズム名 | リスト区分 | 特記事項 |
| 共通鍵暗号(ブロック) | AES (128/192/256 bit) | 電子政府推奨 | 米国NIST標準。世界的なデファクトスタンダード。 |
| Camellia (128/192/256 bit) | 電子政府推奨 | 日本(NTT/三菱電機)発の国際標準。高効率・高安全性。 | |
| CLEFIA | 推奨候補 | ソニー開発。軽量実装に適した128bitブロック暗号。 | |
| 3-key Triple DES | 運用監視 | 64bitブロック長に起因する脆弱性(Sweet32等)のため非推奨。 | |
| 共通鍵暗号(ストリーム) | KCipher-2 | 電子政府推奨 | KDDI研究所開発。携帯電話等の高速通信向け。 |
| RC4 | (削除済) | 重大な脆弱性によりリストから完全に削除されている。 | |
| 公開鍵暗号(署名) | RSA-PSS | 電子政府推奨 | 確率的パディングを用いた安全なRSA署名。 |
| ECDSA | 電子政府推奨 | 楕円曲線暗号。短い鍵長で高い強度を実現。 | |
| EdDSA | 電子政府推奨 | ツイストエドワーズ曲線を用いた署名。実装ミスが起きにくい。 | |
| 公開鍵暗号(守秘) | RSA-OAEP | 電子政府推奨 | 最適非対称暗号パディングを用いたRSA暗号化。 |
| RSAES-PKCS1-v1_5 | 運用監視 | パディングオラクル攻撃への脆弱性が懸念されるため非推奨。 | |
| ハッシュ関数 | SHA-256, 384, 512 | 電子政府推奨 | SHA-2ファミリー。現在の主流。 |
| SHA-3 (Keccak) | 電子政府推奨 | SHA-2とは異なる構造(スポンジ構造)を持つ次世代標準。 | |
| SHA-1 | 運用監視 | 衝突耐性が破られているため、電子署名等での新規利用は禁止。 |
4. アルゴリズム評価の深層:安全性と実装性能
宍戸/情報セキュリティマネジメント主任専門官CRYPTRECが実施する評価は、単に「解読できるか否か」という二元論ではない。現代の暗号解読技術(クリプトアナリシス)の進展を踏まえ、多角的な視点からの検証が行われている。
4.1 共通鍵暗号の評価:理論的限界への挑戦
AESやCamelliaといったブロック暗号に対しては、以下のような攻撃手法に対する耐性が厳密に評価される 。
- 差分解読法 (Differential Cryptanalysis): 入力の特定の差分が出力の差分にどう影響するかを統計的に解析する手法。
- 線形解読法 (Linear Cryptanalysis): 平文、暗号文、鍵のビット間の線形近似式を見つけ出す手法。
- 代数攻撃 (Algebraic Attack): 暗号アルゴリズムを多変量連立方程式として表現し、グレブナー基底などを用いて解を求める手法。
- 関連鍵攻撃 (Related-Key Attack): 鍵間に特定の関係がある場合に、それを利用して解読を試みる手法。
CRYPTRECでは、これらの攻撃に対して十分な「安全マージン(Security Margin)」が確保されているかを監視している。例えば、全ラウンド数が10段の暗号に対し、現在の最高レベルの攻撃でも7段までしか解読できない場合、3段分の安全マージンがあると評価される。
4.2 公開鍵暗号の評価:数学的困難性の検証
RSAや楕円曲線暗号の安全性は、特定の数学問題の計算困難性に依存している。CRYPTRECは、これらの問題を解くためのアルゴリズムの進化を予測図として公開している 。
- 素因数分解問題 (Integer Factorization): RSA暗号の根拠。数体ふるい法(GNFS)の改良が最大の脅威となる。
- 楕円曲線上の離散対数問題 (ECDLP): ECDSA等の根拠。Pollard’s rho法などの汎用アルゴリズムに対する耐性が評価される。特定の曲線(弱点のある曲線)を選ばないよう、パラメータ生成のガイドラインも提供されている。
4.3 実装セキュリティ:サイドチャネル攻撃への対策
暗号アルゴリズムそのものが数学的に安全であっても、それを実装したデバイス(ICカードやIoT機器)が物理的に攻撃されるリスクがある。
- 電力解析攻撃 (DPA/SPA): デバイスの消費電力の変動を測定し、秘密鍵を推定する。
- タイミング攻撃: 処理時間の差異から情報を読み取る。
- フォールト攻撃: 意図的に誤動作(エラー)を起こさせ、その出力結果から内部状態を解析する。
CRYPTRECの「暗号技術評価委員会」では、これらのサイドチャネル攻撃に対する耐性を評価するための指針策定や、耐性のある実装技術の調査も行っている。
5. 2030年問題と暗号強度要件の策定
宍戸/情報セキュリティマネジメント主任専門官暗号技術の世界において、時間は敵である。計算機能力の指数関数的な向上(ムーアの法則)により、かつて安全とされた鍵長はいずれ解読可能となる。CRYPTRECは、この不可避な未来に対処するため、「暗号強度要件(アルゴリズム及び鍵長選択)に関する設定基準(LS-0003-2022R1)」を策定している。
5.1 ビットセキュリティの概念
異なる暗号アルゴリズムの強度を統一的に比較するために、「ビットセキュリティ」という指標が用いられる。 ビットセキュリティとは、その暗号を解読するために 回程度の計算操作が必要であることを意味する。
- 112ビットセキュリティ:
- 3DES、RSA 2048bitなどが該当。
- 現状: 2020年代においては安全とされるが、2030年に向けてリスクが高まると予測されている。
- 128ビットセキュリティ:
- AES-128、Camellia-128、RSA 3072bit、SHA-256などが該当。
- 現状: 長期間(数十年のオーダー)にわたって安全性が期待される標準レベル。
- 256ビットセキュリティ:
- AES-256、SHA-512など。
- 現状: 量子コンピュータ登場後もある程度の耐性が期待される超高強度レベル。
5.2 2030年への移行ロードマップ
CRYPTRECは、112ビットセキュリティの暗号技術(特にRSA 2048bit)について、2030年を一つの境界線とする移行指針を示している 。
| セキュリティ強度 | 代表的アルゴリズム | 〜2030年までの扱い | 2031年以降の扱い |
| 112ビット | RSA 2048bit, 3DES | 利用可(新規生成も可だが非推奨傾向) | 利用不可(原則として禁止・移行完了が必要) |
| 128ビット以上 | RSA 3072bit, AES-128 | 利用可(推奨) | 利用可(標準として継続) |
この指針に基づき、政府機関システムでは現在、RSA 2048bitからRSA 3072bit以上、あるいはECDSA(P-256以上)への移行作業が段階的に進められている。この基準に違反する鍵長(例:2031年以降にRSA 2048bitを使用)を用いた場合、たとえアルゴリズムが推奨リストにあっても、「CRYPTREC暗号リストに準拠していない」とみなされる厳しい規定となっている。
6. 次世代の脅威:耐量子計算機暗号 (PQC) への対応
宍戸/情報セキュリティマネジメント主任専門官従来のスーパーコンピュータによる総当たり攻撃とは次元の異なる脅威として、量子コンピュータの出現が現実味を帯びている。Shorのアルゴリズムを用いれば、RSAや楕円曲線暗号は多項式時間で解読されてしまうため、現在のインターネットセキュリティの基盤が崩壊する恐れがある。これに対抗するのが PQC (Post-Quantum Cryptography: 耐量子計算機暗号) である。
6.1 国際標準化とCRYPTRECの連携
米国NIST(国立標準技術研究所)は、2016年よりPQCの標準化プロジェクトを開始し、2024年に最初の標準(FIPS 203, 204, 205)を公開する予定である 。CRYPTRECはこの動きと完全に同期しており、独自の「暗号技術調査ワーキンググループ(耐量子計算機暗号)」を設置して、NIST候補アルゴリズムの評価および日本国内への導入戦略を検討している 。
6.2 CRYPTRECによるPQC評価の視点
2024年度の報告書等に基づくと、CRYPTRECは以下の視点でPQCの評価を進めている。
- 格子暗号等の安全性: NISTで選定されたML-KEM (Kyber) や ML-DSA (Dilithium) の基盤となる格子問題(LWE問題など)に対する最新の攻撃手法(Dual Attack等)を調査し、パラメータ設定の妥当性を検証している。
- 既存暗号への影響評価: Groverのアルゴリズムは、共通鍵暗号やハッシュ関数の探索速度を2乗加速させる(鍵長の実効強度を半分にする)。CRYPTRECの調査では、AES-128は量子コンピュータに対して脆弱になる可能性があるため、AES-256への移行が推奨される方向にある。また、ハッシュ関数についても、衝突探索において量子アルゴリズムの影響が無視できないため、出力長384bit以上(SHA-384/512)が「無難」であるとの見解を示している 。
- ハイブリッド運用の検討: 移行期においては、従来の暗号とPQCを組み合わせて使う「ハイブリッドモード」が現実的な解となる。CRYPTRECでは、このハイブリッド運用の安全性証明やプロトコル設計についてもガイドライン化を進めている。
7. 軽量暗号とIoTセキュリティ:Asconの評価
宍戸/情報セキュリティマネジメント主任専門官IoTデバイスの爆発的な普及に伴い、計算リソース(CPUパワー、メモリ、電力)が極端に制限された環境でも動作する「軽量暗号(Lightweight Cryptography)」の重要性が高まっている。
7.1 軽量暗号の必要性
従来のAESなどは、高性能なプロセッサでは高速だが、RFIDタグや小型センサーノードにおいては回路規模や消費電力が大きすぎる場合がある。CRYPTRECはこれまでもCLEFIAやEnocoroといった軽量暗号をリストアップしてきたが、国際的な軽量暗号標準化の動きに合わせて評価を加速させている。
7.2 Asconの評価と採用
NISTが軽量暗号コンペティションで選定した「Ascon」について、CRYPTRECは2024年に詳細な調査報告書を公開した 。Asconは、認証付き暗号(AEAD)であり、暗号化とメッセージ認証を同時に効率よく処理できる特徴を持つ。 CRYPTRECの評価レポートでは、Asconの安全性(差分特性など)および実装性能(ハードウェア回路規模、ソフトウェア速度)が詳細に検証されており、今後の電子政府推奨暗号リストまたは推奨候補暗号リストへの追加が有力視されている 。これは、日本のスマートシティ構想やインダストリー4.0におけるセキュリティ基盤として重要な意味を持つ。
8. 運用と実装のガイドライン:技術を社会に定着させるために
宍戸/情報セキュリティマネジメント主任専門官どれほど優れた暗号技術を選定しても、現場での運用が不適切であればセキュリティは破綻する。CRYPTRECの「暗号技術活用委員会」は、実務者を支援するための具体的なガイドラインを多数発行している。
8.1 暗号鍵管理ガイダンス
「暗号の強度は鍵の管理に等しい」と言われるほど、鍵管理は重要である。CRYPTRECの「暗号鍵管理ガイダンス」は、鍵の生成から廃棄に至るライフサイクル全体を規定している 。
- 生成: 真正乱数生成器の使用や、予測不可能なエントロピー源の確保。
- 保管: 鍵を平文で保存しないこと、HSM(ハードウェアセキュリティモジュール)の利用推奨。
- 更新: 定期的な鍵更新(ローテーション)の手順。
- クラウド対応(Part 2): 2024年に追補された「Part 2」では、AWS KMSやAzure Key Vaultといったクラウド鍵管理サービス(KMS)を利用する際のリスク評価(BYOK vs HYOK)や、クラウド事業者に対する信頼の境界線について詳細に解説している 。
8.2 SSL/TLS暗号設定ガイドライン
ウェブサイトのセキュリティ(HTTPS)において、サーバー管理者がどのバージョン(TLS 1.2/1.3)や暗号スイート(Cipher Suite)を選択すべきかを示すガイドラインである。
- 高セキュリティ型: 金融機関など、極めて高い安全性が求められるシステム向けの設定(例:PFS必須、AES-GCMのみ許可)。
- 推奨セキュリティ型: 一般的な行政サービス向け。互換性と安全性のバランスを考慮。
- セキュリティ例外型: レガシー端末への対応が必要な場合の暫定措置。
このガイドラインは、日本の政府機関だけでなく、民間企業のサーバー設定基準としても広く参照されているデファクトスタンダードである。
9. 結論:CRYPTRECの未来と日本のサイバーレジリエンス
9.1 これまでの成果
発足から20年以上を経て、CRYPTRECは日本のサイバーセキュリティ政策の不可欠な構成要素となった。その最大の成果は、暗号技術という高度に専門的な分野において、政府が「何を使うべきか」という明確な基準(リスト)を確立し、市場の混乱を防いだことにある。また、AESやSHA-2といった国際標準を迅速に取り入れつつ、CamelliaやKCipher-2といった国産技術も適切に位置づけることで、技術的自律性と国際協調のバランスを保ってきた。
9.2 今後の展望と課題
2025年以降、CRYPTRECが直面する課題は、これまでにないほど複雑かつ重大である。
- 「暗号の2030年問題」の完遂: 数多くのレガシーシステムがRSA 2048bitに依存している現状において、2030年までにこれらを円滑に新方式へ移行させることは、技術的課題以上にプロジェクトマネジメント上の巨大な挑戦となる。
- ポスト量子時代へのソフトランディング: PQCへの移行は、インターネットの基盤プロトコル(TLS, SSH, PKI)の総入れ替えを意味する。CRYPTRECは、NIST標準の動向を見極めつつ、日本国内のベンダーやユーザーが混乱なく移行できるような詳細なマイグレーションパスを描く必要がある。
- AIと暗号の交錯: AI技術を用いた暗号解読(AIによるサイドチャネル解析の高度化など)や、AIモデルの保護に用いられるプライバシー保護技術(秘密計算、準同型暗号)の評価も新たなスコープとなるだろう。
9.3 結び
CRYPTRECの活動は、一見すると地味な技術検証の積み重ねに見えるかもしれない。しかし、そのリストとガイドラインは、デジタル庁が推進する行政DX、金融機関の決済システム、そして電力網や通信網といった重要インフラの信頼性を根底から支える「デジタルの礎(いしずえ)」である。
量子コンピュータ時代の到来を前に、CRYPTRECの役割は「現在の安全を守る」ことから「未来の破綻を防ぐ」ことへと進化している。政府機関のみならず、全ての情報セキュリティ担当者は、CRYPTRECの発信するレポートとリストを継続的に参照し、自組織の防衛策を絶えずアップデートしていくことが求められる。
コメント