ホーム > 情報処理安全確保支援士試験 > 2023年 春期
情報処理安全確保支援士試験 2023年 春期 午前2 問01
デジタル庁,総務省及び経済産業省が策定した“電子政府における調達のために参照すべき暗号のリスト (CRYPTREC 暗号リスト)”に関する記述のうち,適切なものはどれか。
ア:CRYPTREC暗号リストにある運用監視暗号リストとは,運用監視システムにおける利用実績が十分であると判断され,電子政府において利用を推奨する暗号技術のリストである。
イ:CRYPTREC暗号リストにある証明書失効リストとは,政府共用認証局が公開している,危殆化した暗号技術のリストである。
ウ:CRYPTREC暗号リストにある推奨候補暗号リストとは,安全性及び実装性能が確認され,今後,電子政府推奨暗号リストに掲載される可能性がある暗号技術のリストである。(正解)
エ:CRYPTREC暗号リストにある電子政府推奨暗号リストとは,互換性維持目的に限った継続利用を推奨する暗号技術のリストである。
解説
CRYPTREC(Cryptography Research and Evaluation Committe)は、総務省や経済産業省、デジタル庁が連携して策定した、電子政府等で安全に利用できる暗号技術のリストです。このリストは日本の情報セキュリティを高めるために、利用推奨や運用実績、将来性に応じて暗号技術を体系的に分類しています。
問題の選択肢のポイントを1つずつ見ていきましょう。
ア:運用監視暗号リストについて
「運用監視暗号」とは、運用監視システム向けに現在使われている暗号技術のうち、とくに実績があるもののことを指します。しかし、この運用監視暗号リストは「電子政府での利用を推奨するリスト」とは異なり、あくまで運用監視の場で用いられている現状の整理です。よって「利用を推奨するもの」という表現は適切ではありません。
イ:証明書失効リストについて
証明書失効リストは、一般にはPKIで使われるCRL(Certificate Revocation List)の略称として知られていますが、CRYPTRECにおける「証明書失効リスト」は存在しません。また、「政府共用認証局が危殆化した暗号技術のリストを公開している」とする点も誤りです。CRYPTRECの分類は暗号技術そのものの安全性と実績を基にしています。
ウ:推奨候補暗号リストについて(正解)
推奨候補暗号リストは、CRYPTRECで「一定の安全性と実装性能が確認されている」ものの、まだ完全に採用・推奨される段階ではない暗号技術を挙げています。このリストに載っている技術は、今後電子政府推奨暗号に昇格する可能性があるものです。つまり、将来の推奨に向けて検討・評価が継続されている状態を意味します。
エ:電子政府推奨暗号リストについて
このリストには、現在電子政府で積極的に利用が推奨されている安全かつ信頼できる暗号技術が掲載されています。選択肢のように「互換性維持目的に限った継続利用のみ推奨する」ことを示しているのは「互換性維持暗号リスト(Legacy)」の特徴です。この混同により選択肢は誤りです。
まとめ
CRYPTREC暗号リストは次のように分類されています。
- 電子政府推奨暗号リスト:現在安全かつ積極的に推奨される技術
- 推奨候補暗号リスト:安全性・性能確認済みで将来的に推奨される可能性のある技術
- 互換性維持暗号リスト:過去の運用のために互換性維持目的で利用される技術
- 運用監視暗号リスト:運用監視用途の暗号技術
問題文の正解である「ウ」は、この中の推奨候補暗号リストの正しい説明です。
参考の理解ポイント
- 暗号技術は時代と共に安全性の評価が変わるため、CRYPTRECは定期的に見直されています。
- 用途に応じて、どのリストの技術を使うべきか判断することが安全なシステム設計には重要です。
以上の理由から、問題の正解は「ウ」です。