はじめに ── 暗号技術は私たちの日常にある
空子/情報セキュリティマネジメント担当ネットショッピングでクレジットカード番号を入力するとき、LINEでメッセージを送るとき、会社のクラウドサービスにログインするとき。私たちは日々、暗号技術に守られながらデジタル生活を送っています。でも、その暗号技術にも「安全なもの」と「もう古くて危険なもの」があることをご存じでしょうか?
どの暗号技術が安全で、どれが危険なのか。それを日本政府が専門家の力を借りて評価・リスト化したものが、CRYPTREC暗号リストです。
CRYPTRECとは何か
空子/情報セキュリティマネジメント担当CRYPTREC(クリプトレック)は「Cryptography Research and Evaluation Committees」の略で、日本語に訳すと「暗号技術検討会」です。デジタル庁、総務省、経済産業省が共同で運営し、国立研究開発法人情報通信研究機構(NICT)や独立行政法人情報処理推進機構(IPA)も参加しています。
このプロジェクトは2000年度にスタートしました。当時、日本は「電子政府」の構築を進めていて、行政手続きのオンライン化やマイナンバーのようなデジタル基盤を整えるにあたり、「そもそも使っている暗号は本当に安全なのか?」という根本的な問題に取り組む必要がありました。そこで生まれたのがCRYPTRECです。
わかりやすく言えば、CRYPTRECは暗号技術の「安全審査機関」のようなものです。食品でいう食品安全委員会、薬でいう医薬品医療機器総合機構(PMDA)に近い役割を、暗号技術の世界で果たしています。
CRYPTREC暗号リストの3つの分類
空子/情報セキュリティマネジメント担当CRYPTREC暗号リストは、暗号技術を安全性や利用状況に応じて3つのカテゴリに分類しています。
1. 電子政府推奨暗号リスト ── 「今使うべき暗号」
これがメインのリストです。CRYPTRECが安全性と実装性能を確認し、なおかつ市場で十分な利用実績があるか、今後の普及が見込まれる暗号技術が載っています。
たとえるなら、レストランの「おすすめメニュー」。味(安全性)も調理のしやすさ(実装性)も確認済みで、多くのお客さんに支持されている料理だけが載るリストです。
代表的な技術としては、データの暗号化に使うAES(Advanced Encryption Standard)、インターネット上の安全な通信を支えるRSAやECDSAといった公開鍵暗号、データの改ざんを検知するSHA-256などのハッシュ関数が含まれています。政府機関がシステムを調達する際には、このリストに載っている暗号技術を使うことが求められます。
2. 推奨候補暗号リスト ── 「将来のエース候補」
安全性と実装性能は確認されているものの、まだ利用実績が十分でない暗号技術のリストです。いわば「二軍」ですが、実力は十分にあり、今後電子政府推奨暗号リストに「昇格」する可能性がある技術たちです。
新しく開発された暗号技術は、まずこのリストに入り、実際の利用が広がっていくにつれてメインのリストに移動するという流れになっています。
3. 運用監視暗号リスト ── 「引退間近の暗号」
かつては安全だったけれど、コンピュータの性能向上や解読技術の進歩によって安全性が揺らいできた暗号技術のリストです。本来なら使うべきではないのですが、すでに多くのシステムで使われているため、互換性を維持する目的に限って利用が「容認」されています。
これは「まだ走れるけど、そろそろ買い替えたほうがいい古い車」のようなもの。新しいシステムでわざわざ使う理由はなく、既存のシステムでも早めに乗り換えることが推奨されています。たとえば、過去にはRC4という暗号がこのリストに載っていましたが、2021年にリストからも完全に削除されました。
なぜ暗号は「古くなる」のか
空子/情報セキュリティマネジメント担当「暗号なのに破られるの?」と思う方もいるかもしれません。暗号技術の安全性は、主に「解読にどれだけの計算量(時間とコンピュータの力)が必要か」で決まります。
たとえば、ある暗号を解読するのにスーパーコンピュータで数百兆年かかるなら、事実上安全です。しかし、コンピュータの処理能力は年々向上しています。さらに、数学者やセキュリティ研究者が新しい解読手法を発見することもあります。昨日まで数百兆年かかると思われていた計算が、新しい解読法の発見によって一気に現実的な時間で可能になることもあるのです。
特に近年注目されているのが量子コンピュータの脅威です。量子コンピュータが実用化されると、現在広く使われているRSAなどの暗号が短時間で解読される可能性があるとされています。CRYPTRECでも耐量子計算機暗号(量子コンピュータでも解読できない暗号)に関するガイドラインの作成を進めています。
私たちの生活との関わり
空子/情報セキュリティマネジメント担当CRYPTREC暗号リストは「電子政府のためのリスト」という位置づけですが、その影響は政府システムだけにとどまりません。
たとえば、私たちが毎日使っているWebブラウザの「https」通信。アドレスバーに鍵マークが表示されるあの仕組みには、TLS(Transport Layer Security)というプロトコルが使われていますが、その中で使われる暗号技術もCRYPTREC暗号リストの推奨に沿ったものが選ばれています。CRYPTRECは「TLS暗号設定ガイドライン」も公開しており、安全なWebサイト運営の指針を示しています。
また、クラウドサービスの暗号化、Wi-Fiの通信暗号化、圧縮ファイルのパスワード保護など、日常のあらゆる場面でCRYPTREC暗号リストの技術が活躍しています。
企業にとっての意味
空子/情報セキュリティマネジメント担当企業のセキュリティ担当者にとって、CRYPTREC暗号リストは「自社のシステムが適切な暗号技術を使っているか」を確認する際の基準となります。
もし自社のシステムが3つのリストのいずれにも載っていない暗号技術を使っているなら、それは安全性が確認されていない、あるいは安全性が損なわれた暗号を使っている可能性があり、早急な対応が必要です。サプライチェーン全体でセキュリティ要件が厳しくなっている昨今、取引先から「この暗号方式では取引できません」と言われるリスクもあります。
一方で、暗号アルゴリズムをシステムに適切に組み込める専門人材の不足も課題として指摘されています。アルゴリズム自体に問題がなくても、実装の仕方を間違えれば脆弱性が生まれてしまうからです。
まとめ ── 暗号の「健康診断」を続けること
CRYPTREC暗号リストは、暗号技術の安全性を国を挙げて評価し、定期的に見直し続ける仕組みです。私たちが普段意識することは少ないかもしれませんが、ネットバンキングの送金もオンライン会議も、その裏側ではCRYPTRECが「安全」と認めた暗号技術が静かに働いています。
デジタル社会を安心して暮らしていくために、暗号技術も人間と同じように「定期健康診断」が必要です。CRYPTRECはその健康診断を行い、結果をリストとして公開してくれている存在なのです。
空子/情報セキュリティマネジメント担当暗号技術に関心を持った方は、CRYPTRECの公式サイト(https://www.cryptrec.go.jp/)にアクセスしてみてください。最新のリストやガイドラインを誰でも無料で閲覧できます。
コメント