NIS-Be通信+(No.3)

《TOPIC》

  • セキュリティのさじ:デジタル庁関連/DFARS/東証トラブルその後
  • NIS-Be最新情報
  • One TERM(用語解説):暗号その2(共通鍵暗号)

【セキュリティのさじ:情報セキュリティに関する最近の話題をピックアップし掘り下げます】

NIS-Be通信第1号で取り上げた、「デジタル庁」発足に関する記事はコロナ禍に隠れて減少しましたが、11月下旬から政府の発表や関連記事が急増しました。報道はされずとも検討が急速に進められていた模様で、10月12日には関係閣僚会議で「デジタル改革の基本的な考え方と関連法案整備」のため『デジタル改革関連法案WG』の設置、また今後の我が国の「デジタル国家にふさわしいデータ戦略を策定」するため『データ戦略タスクフォ-ス』の設置が決定されました。

 その後、「デジタル庁」の役割・法律面はWGで、技術面はタスクフォースでと各部会で分担して検討・取りまとめが進められ、12月中旬には方針が決定されたようです。

 我々により関係の深い「タスクフォース」については、10月23日に第1回会合が、その後も11月に2回開催され、最近では第4回が12月8日に開催されており、官邸 ホームページから、WGとあわせて各会合の簡単な議事次第と関連文書が閲覧可能です。

 各文書を一読した印象では、多岐にわたる内容を議論している関係からか、少々「てんこ盛り」過ぎの感はありますが、意欲は筆者にも十分に伝わってきました。

 セキュリティに関する事項については、「トラスト」という言葉で各所に記述がされています。第1回の「トラストサービスの現状と課題」や第2回の「トラストサービスの位置付けの明確化」を読むと、その結果が第3回の「第一次とりまとめ(案)」での「トラストの枠組みの方向性」にまとめられていると汲み取ることができます。

 そして、第4回会合の参考資料「第一次とりまとめ(案)の概要」における喫緊課題のトップに「トラストの枠組みの整備」が上げられており、そこで3つの項目【①誰が(意思表示証明)②何を(発行元証明)③いつ(存在証明)】がポイント、とあるのを目にした時は、今後におけるマイナンバー制度や「eシール」などの一層の拡大・推進を予感させられました。

 また、同じく第4回に提示された「ロードマップ」に、「データ活用に関するセキュリティチェックリストを、2021年度の早期(7月以降でデジタル庁の開設前)に整備する」と書かれていたのも注意を引きました。

●第2号でもお伝えしましたが、DFARSの暫定規則が11月30日に発効しました。米国でのIT関連分野や国防分野では毎日のように暫定規則やCMMCに関する記事が見受けられるとともに、CMMC-ABのサイトを継続的に観察していると着々と準備を進めている様子(登録会社の増大など)がうかがえます。一方で日本においては、まだどこか遠い他人事と捉えられているのか、あまり関連する動きや報道は見受けられません。

 ただ、いずれは日本にも大きな影響を与える事は必然であり、ゆでガエルにならないためにも、さっそく今回のコラムで取り上げました。

●第1号の巻頭で触れた「東証トラブル」に関する報道は、10月19日のJPXの発表以降減少していましたが、11月30日に金融庁の「業務改善命令」発令と東証の社長辞任、あわせて独立調査委員会の調査結果が発表され、再度多くの報道がされました。

 ただその多くは「社長の責任等」に関する報道が中心で、独立調査委の「原因に関する調査結果」や「今後の対応策への提言」についての報道は見られませんでした。12月18日付で、JPXのホームページにかなり詳細な中間報告が掲載されていましたので、興味がある方は一読してみてください。

______________________________________

NIS-Be最新情報:更新情報、活動報告】

活動報告

  • 情報セキュリティセミナー開催(浜松商工会議所:12/15)

 ⇒EvaAviation社が参画している「サイバーセキュリティお助け隊」としての活動で、航空宇宙・防衛産業分野を中心とした自動車関係などを含む中小企業向けに、情報セキュリティ対策の最新動向と望まれる取組みを紹介しました。参加者(現地:5人、オンライン:30人)からは、「現状のままではマズいとの認識が出来たので、参加して良かった」など反応も上々でした。

 ⇒「NIS-Be通信(第2号)」をNIS-Beサイトブログのアーカイブ(12月)に登録しました(今後も発刊後、順次登録します)。

【One TERM(用語解説)】

●暗号その2

 前号(第2号)では、暗号の歴史のまとめとして「現在の暗号化手法には、大きく分けて「共通鍵暗号」と「公開鍵暗号」の二つがあります」と結びましたが、今回はその内「共通鍵暗号」について解説します。

【共通鍵暗号】

 まずは従来の暗号方式の発展形とも言える「共通鍵暗号」が、使いやすさ(処理能力、コスト)から、多くの通信で使われるようになりました。その代表として、1976年にNIST(米国の標準技術研究所)により米国の標準に制定された「DES (Data Encryption Standard)」方式があげられます。

 このDES方式は、ある意味現在暗号の始まりと言われており、従来型暗号方式との大きな違いは、暗号のアルゴリズムが暗号の強靱性検証のために公開されるようになった点にあります。この方式は、進化の早い現在では主流ではありませんが、使い方を工夫しながら(トリプルDES方式等)未だに使われ続けています。

 DES方式が「共通鍵暗号」の主役の座を追われた最大の理由は、コンピュター能力の向上にともなう暗号解読リスクの高まりでした。この状況に危機感を覚えたNISTが新しい方式を公募し選定したのが、2002年に米国標準とされた「AES (Advanced Encryption Standard)」方式です。

 以降、「AES」方式は幾多の解読研究や攻撃にも屈せず「共通鍵暗号」の代名詞のひとつとして名を馳せており、米国だけでなく欧州や日本でも暗号規格として採用されています。

 なおNIST SP 800-171においては、暗号方式の基準として「FIPS(連邦情報処理基準)で検証済である暗号技術」という記述がありますが、そのひとつがAES方式です。

 例えばCMMCで認証を受ける場合、AES方式を使用して作成された暗号モジュール(製品)が「FIPS 140-2の要件に基づき検証済」として登録されていれば、基準を満たしていると判断されます(日本でのFIPSに相当するIPAの暗号モジュール試験・認証制度「JCMVP」を見ると、現時点で承認されている製品の多くでAES方式が採用されています)。

 次号以降で【公開鍵暗号】等についての解説をしていきます。

———————————————————————————————-

【編集後記】

  • 先日、自分の携帯電話に「今週、飲みに行きませんか?」という件名のメールが来て、思わず開いてみると「未知」の人からのメール。削除するも、その後怪しげなメールが頻発し、更には「不審なアプリ発見」との警告も発生。慌てて削除およびメール受信の限定設定を実施しました。(携帯に監視ソフトを入れておいて良かった!)
  • 日頃注意していたつもりなのに、ちょっとした気の緩み(「誰のお誘い?」とついメールを開いてしまった)で、危うく携帯電話を乗っ取られるところでした。
  • 皆さんも怪しい「飲み会へのお誘い」にはご注意され、良い新年をお迎えください。

(佃)