《TOPIC》
【セキュリティのさじ:情報セキュリティに関する最近の話題をピックアップし掘り下げます】
●前号で取り上げた10月1日の「東証システム」のトラブルに関する報道は、JPX(日本取引所グループ)の報告書公表で一気に減少しました。一方で紙面の多くを占めるようになったのは米国大統領選ですが、バイデン氏でほぼ決着したことで、今後の米国政府の動向の変化が注目されています。その中で「対中国」の押え込み政策の方向性は変わらずとも、米国自身のより具体的な対応はもちろん、同盟諸国との連携強化が重要と言われています。
特に情報セキュリティにおいては、前号でNIS-Beサイトの更新情報としてお伝えし、11月末には正式発行と見込まれている「DFARSの暫定規則」についても、我が国と米国の連携強化を実現する上での重要な事項として、理解しておく必要があります。
当該暫定規則は、前号でも述べたとおり【DoDサプライチェーン内の非機密情報の保護を強化することを目的とし、従来規則に「DoD評価方法」と「CMMCフレームワーク」について追加規定、並びに修正を加えたもの】です。詳しくはNIS-Beに登録された原文を参照いただきたいのですが、ここで述べられた「CMMC」についても今まで以上に注視する必要があります。
米国の現在のサイバーセキュリティ施策は、2010年のオバマ大統領の大統領令13556に端を発すると言われていますが、当初施策で推進されていた自己申告制の限界もあり、実効性が高まらないという反省を踏まえて生み出されたのが、第三者認証を前提としたフレームワーク「CMMC」であり、今後国際的な展開も想定されます。(コラム参照)。
- 参考:「共同訓練円滑に、日豪が大枠合意に 17日に首脳会談」11/13日経新聞
- 「米中、「政治戦争」のトンネルに 日本の論点2020」11/14日経新聞
●11月もサイバー攻撃被害の報道が多く見られましたが、経済産業省が主導する「重要な情報をサイバー攻撃から守るための新組織」についての記事が出ていました。この組織はIPAが旗を振り11月1日に設立され、現在の会員数は約130の団体および企業になっている模様です。経産省のHPによるとこの組織では、NIS-Be通信(第0号)で紹介した、EvaAviation(以下Eva)社参画の「サイバーセキュリティお助け隊」での成果やサービス等も活用して活動していくそうです。また、11月20日に発覚した三菱電機のサイバー被害の記事も、この組織について触れていました。
- 参考:「中小へのサイバー攻撃対策 電力など70団体新組織」11/ 1日経新聞
- 「サプライチェーン・サイバーセキュリテイ・コンソーシアムの設立」:11/1 IPA HP
- 「サプライチェーン・サイバーセキュリテイ・コンソーシアムについて」:経産省HP
- 「狙われたテレワークの隙 社内システム制限緩和ハッカー侵入」:11/21 朝日新聞
●「脱ハンコ」については世間の関心も高いためか継続的に報じられており、より一歩踏み込んで「暗号」など関連する技術的解説を強化した記事もよく目にします。試しに、日経新聞で「暗号」をキーに記事を検索すると、一日あたり2件程度の記事が連日のように掲載されていることが分かります。
ただ、「暗号」はセキュリティ分野での基礎的な事項である一方、技術的革新が著しく新しい用語も頻出しており、内容を十分に理解するのが難しいところです。そこで、一度歴史を含めての説明があるとお役に立つのではと思い、今回用語解説として取り上げました(One TERM参照)。
- 参考:「ハンコ文化と問う(中) 電子署名の普及を阻む」11/ 2日経新聞
- 「あなたの会話は聞かれている? 暗号技術で「国 vs IT企業」」11/6日経新聞コラム
- 「米中、新暗号で覇権争い 量子計算機での解読防ぐ」10/17日経新聞コラム
- 【NIS-Be最新情報:更新情報、活動報告】
- 更新情報
・10/29 NIST SP 800-171 DoD Assessment Methodology, Version 1.2.1 DoD Assessment Methodologyを掲載
本資料は「セキュリティのさじ」でも述べた、NIST SP 800-171を利用した新たな評価要領を説明しています。2020年代後半にCMMCが完全運用されるまでのつなぎとなるものです。企業には従来通りの資料作成を求めるとともに、すでに提示済の基準を用いたDoD担当官による評価等が記載されています。NIS-Beでは内容の分析を行ない、次号で特集記事の掲載を予定しています。
・11/3 [Webinar] DFARS Interim Rule: What, When, and How
上記の登録情報同様DFARSの暫定規則に関しての、EXOSTAR社のセミナーが見つかりましたので、興味がある方はプレゼン資料をダウンロードしてご覧ください。
・11/14 Control Systems Cyber Conference - Hack The Building by MISI
米国ビルマネジメント分野でのサイバーセキュリティに関する会議が開催され、中盤でDoDのケイティ氏も登壇しました。
- 活動報告
・JASA研究会で講演(11/12)
⇒JASAの定例研究会で「米国発サイバーセキュリティ対策の新しい評価システムCMMC」という題目でEva社メンバーが講演しました。セキュリティ分野の専門家を中心に115名の方が参加され、熱心に聴講されました。
・各地でセミナー開催
⇒Eva社が参画している「お助け隊」としての活動で、航空宇宙・防衛産業分野における情報セキュリティ対策の最新動向と中小企業に求められる取組みを、継続して紹介しています。サイバーセキュリティについて参加者の関心は高いが、具体的対策は費用対効果面でハードルが高く、実践に結びつきづらい印象を受けました。
【One TERM(用語解説)】
●暗号その1(暗号の歴史)
用語の意味として、「秘密を保つために、当事者間にのみ了解されるように取決めた特殊な記号・言葉(広辞苑・第四版)」とあり、なかなか分かり易い記述がされています。『広辞苑』に用語として採用されていることから分かるように、昔から軍事や外交で「秘匿」を目的に利用されてきた技術で、近年は多くの小説にも登場している言葉です。
ただ、昨今の技術革新に伴う変化の激しさ(情報秘匿の攻防)だけでなく、活用される分野も民間ビジネスでは通信や、最近では金融等にもその裾野を広げ複雑化しているため、「暗号」の歴史を振り返るとともに、代表的な用語について解説していきます。
【暗号の歴史】
今から2000年前には、すでに暗号(「シーザ(カエサル)暗号」の名で知られる、アルファベットを決まった数だけ巡回的にずらす暗号)が考案されていたようですが、パターンが限定的で、当時でも容易に解読できてしまいました。次に、文字毎のランダムな対応表による暗号(単換字暗号)が考案され、その後1000年以上にわたって(置換式暗号や乱数と組み合わせた多表式暗号とする等)様々な工夫を加えながら使用されてきました。
これらの暗号方式は、やりとりをする「情報」そのものに特徴が無ければ秘匿性は高いのですが、通常「情報」は「言語」に置き換えられるため、言語特性で文字の発生頻度に偏りが生じ、(頻度分析手法により)解読する糸口を得られる可能性はゼロではありません。
そこで暗号を見破ろうとする側は、「何らかの偏りを見つける」という原則に沿って様々な手法を活用するなど知恵を絞り、一方の隠す側も、それに対抗してより高度な手法を考案し実装するという攻防が繰り返されてきました。両者の攻防は近年の数学的アプローチやICTの技術進展と相まって益々激しいものがあり、その結果として進化した現在の暗号化手法には、大きく分けて「共通鍵暗号」と「公開鍵暗号」の二つがあります。
次号以降で【共通鍵暗号】や【公開鍵暗号】等についての解説をしていきます。
-----------------------------------------------------------------------------------------
【編集後記】
- 「CMMC」という言葉を最初に聞いた時、「また新しい仕組みが・・」と思うとともに、「CMMIと何が違うのか」という疑問がわいてきました。今回のコラムでは、仕組みができた背景や疑問への回答が簡潔に書かれていると思うので、是非一読ください。
- 「暗号」という言葉には魅せられるものがあります。自分の「暗号」にまつわる最初の記憶はなんだろうと思いをめぐらせた時、中学生になって最初に買った本「シャーロックホームズの冒険」の中の、「踊る人形」という短編に登場した「暗号」に心を踊らせた頃を思い出しました。
(佃)
