★☆★JNSAメールマガジン 第9号 2013.5.10.☆★☆

こんにちは
JNSAメールマガジン 第9号 をお届けします。

皆さん、ゴールデンウィークはリフレッシュされたでしょうか。
当メルマガも、1週間お休みをいただきました。
連休明け早々に、Tokyo Big Sightでは情報セキュリティExpoが開催されましたが、たいへんな人混みでにぎわっておりました。セキュリティへの一般の関心が一気に高まったように感じました。
連載リレーコラムは、中尾副会長に、国際標準化の動きを、少し舞台裏情報もちりばめて書いていただきました。やや長いので、今回と次回、2連載でお届けします。

【連載リレーコラム】
「情報セキュリティの国際標準化の現状と限界」<その1>
(JNSA副会長 KDDI株式会社 情報セキュリティフェロー、中尾康二)

■国際標準化の目的とは

デジュール標準として、国際標準化団体が2つ存在する。ITU-TとISOである。私自身は、その両方の国際規格化(標準化)に1990年ころから関わってきている。単純に「国際標準」というと、MPEGやG3 FAX標準など、日本からの貢献の大きかったものもあるが、内容が「情報セキュリティ」となるとなかなか見つからない。

標準化にはいくつかの目的がある。目的1) 国際的に統一された標準を作成することで、通信方式、符号化方式、情報交換手順などを一元化し、多くの利用者に対して、相互運用性(利用性)を確保すること、目的2) 自社製品(ツール、アプリケーション、手順など)を標準化することにより、その製品が国際的に認知され、自社ビジネスに結び付けられること、目的3) システム実装、アプリケーション運用、実践規範などのノウハウを標準化することにより、多くの利用者からガイドラインとして参照されること、などが挙げられる。

セキュリティに関連する上記1) の例としては、ITU-T勧告X.509(Public-key and attribute certificate frameworks)、X.1500(Overview of cybersecurity information exchange)などが挙げられる。例えば、X.509については、皆さんがご存じのように、公開鍵暗号のCertificateの枠組みを規定しており、広く現在公開鍵利用の際に用いられている。また、上記2) の例としては、英国規格のBS-7799をISO/IEC 17799として国際規格化し、それに基づき、現在国際的に利用されているISMS(情報セキュリティマネジメントシステム)認証が出来上がった。英国は、国の施策として、ISMS認証を国際的なビジネスとしたわけである。さらに、上記3) であるが、現在の多くの国際規格はこのカテゴリーに入るものが多い。


■暗号アルゴリズムの標準化(DES標準化のあれこれ・・・)

国際標準化に関する国の施策がはっきりと表面に出てきたものに「DES標準化」がある。1980年代、米国は国内標準(FIPS)であるData Encryption Standard(DES)の国際規格化を目指していた。国際規格化の土俵は、現在のISO/IECJTC1/SC27の前身である、ISO/SC20であった。当初、米国は暗号アルゴリズムの標準化には前向きであり、DESの規格化により、米国に多くのメリットがあると考えていた。

しかしながら、1990年代、米国はDES国際規格化を見送る提案をしてきた。

DESの保障期限が遠くないこと、暗号アルゴリズムの弱点攻撃に対しアルゴリズムの強化・改良を余儀なくされる環境に鑑み、暗号アルゴリズムは「国際規格化」には適応しづらく、「登録制」にすべきという主張に米国が変えてきたのである。ISOは米国の主張に完全に従うこととなった。

これに対して、2000年の米国における次世代暗号規格(AES)の選定をきっかけに、国際的には暗号アルゴリズムの標準化の要求が再度高まってきた。すなわち、アルゴリズムを標準化して、公開することにより、安全性や性能を公の場で審議し、その利用価値を評価することの重要性に気が付いたわけである。


上記は一例に過ぎないが、国際標準化は参加国の同意の中で成立していくものであるにも拘らず、ISOでもITU-Tでも参加国のうちの一国に過ぎないはずの「米国」の考え方が、標準化の方向性や方針に大きく影響を及ぼしていると言っても過言ではないと思う。


■国際標準化(特に、ITU-T)への貢献国の偏り

ITU-Tでは、欧米からの積極的な貢献(入力)が少ないことが問題視される。一方、中国、韓国からの提案(入力)が非常に増加している。特にセキュリティ規格については、ロシアの提案も増えてきている。

ロシア提案の軸には、「インターネットのトラヒックを国として監視し、不正を検知した場合にはそれらの規制・制御を実施する」というコンセプトがある。このコンセプトは、「インターネットエコノミー」での議論と同様なものとなっており、ロシアのこの考え方には、アラブ諸国、中国、南米諸国、一部アフリカ諸国などが賛同している。

一方、欧米主要国と同調する形で日本は、ロシア提案(インターネットの利用に関する「規制強化」、「利用者のパケットの中の検閲」など)に対して「反対表明」を行っており、セキュリティの国際規格であっても、インターネットの自由な利活用をベースにするべきとの主張を行っている。

  このような状況において、日本も含めた欧米主要国は、ロシア提案、中国・韓国の提案(入力文書)に対し、適切な対応を行うことが必要となり、問題となる(自国に害を及ぼす可能性のある)規格化提案があった場合は、それらの規格化課題の成立に反対している。また、課題としては成立してしまい、それが規格案として最終段階の判断が必要な場合は、その規格の成立を阻み、規格を単純な資料として無効化する方向で対応しているのが現状である。(ITU-Tでは、規格を「勧告(Recommendation)」と呼び、単純な参考資料を「補遺(Supplement)」としている。補遺は参考であるため、規格としての意味は無効化される。)


#連載リレーコラム、ここまで(続きは次号に掲載します)

【ワーキンググループ便り】
★被害調査WGによる「2012年情報セキュリティインシデント調査報告書上半期速報版」が公開されています。ぜひご覧下さい。会員向けには 元ファイルを公開する予定です。
★5/17(金)の10時より社会活動部会の定例会を開催します。ご興味ある方はぜひご参加下さい。
★5/23(木)の16時より第1回電子署名WGを開催します。
【事務局からの連絡、お知らせ】
★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願い致します。
★活動報告会・総会のお知らせ
活動報告会は6月7日(金)に秋葉原UDXにて行います。
総会と懇親会も同日夕刻に開催します。会員のみなさまが一同に集う数少ない機会ですのでぜひご参加下さい。
★部会・WG予定 
・その他、活動スケジュールはこちらをご覧下さい。
http://www.jnsa.org/aboutus/schedule.html

-----------------------------------------------------------------
JNSAの部会・WGは会員企業の方でしたらどなたでも参加できます。
参加のご希望がありましたら、JNSA事務局までお気軽にお問い合せ下さい!
-----------------------------------------------------------------


☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
jnsa-mail
*************************************
JNSAメールマガジン 第9号 
発信日:2013年5月10日
発行: JNSA事務局 jnsa-mail
編集: 勝見 勉
*************************************