★☆★JNSAメールマガジン 第9号 2013.5.10.☆★☆
デジュール標準として、国際標準化団体が2つ存在する。ITU-TとISOである。私自身は、その両方の国際規格化(標準化)に1990年ころから関わってきている。単純に「国際標準」というと、MPEGやG3 FAX標準など、日本からの貢献の大きかったものもあるが、内容が「情報セキュリティ」となるとなかなか見つからない。
標準化にはいくつかの目的がある。目的1) 国際的に統一された標準を作成することで、通信方式、符号化方式、情報交換手順などを一元化し、多くの利用者に対して、相互運用性(利用性)を確保すること、目的2) 自社製品(ツール、アプリケーション、手順など)を標準化することにより、その製品が国際的に認知され、自社ビジネスに結び付けられること、目的3) システム実装、アプリケーション運用、実践規範などのノウハウを標準化することにより、多くの利用者からガイドラインとして参照されること、などが挙げられる。
セキュリティに関連する上記1) の例としては、ITU-T勧告X.509(Public-key and attribute certificate frameworks)、X.1500(Overview of cybersecurity information exchange)などが挙げられる。例えば、X.509については、皆さんがご存じのように、公開鍵暗号のCertificateの枠組みを規定しており、広く現在公開鍵利用の際に用いられている。また、上記2) の例としては、英国規格のBS-7799をISO/IEC 17799として国際規格化し、それに基づき、現在国際的に利用されているISMS(情報セキュリティマネジメントシステム)認証が出来上がった。英国は、国の施策として、ISMS認証を国際的なビジネスとしたわけである。さらに、上記3) であるが、現在の多くの国際規格はこのカテゴリーに入るものが多い。
国際標準化に関する国の施策がはっきりと表面に出てきたものに「DES標準化」がある。1980年代、米国は国内標準(FIPS)であるData Encryption Standard(DES)の国際規格化を目指していた。国際規格化の土俵は、現在のISO/IECJTC1/SC27の前身である、ISO/SC20であった。当初、米国は暗号アルゴリズムの標準化には前向きであり、DESの規格化により、米国に多くのメリットがあると考えていた。
しかしながら、1990年代、米国はDES国際規格化を見送る提案をしてきた。
DESの保障期限が遠くないこと、暗号アルゴリズムの弱点攻撃に対しアルゴリズムの強化・改良を余儀なくされる環境に鑑み、暗号アルゴリズムは「国際規格化」には適応しづらく、「登録制」にすべきという主張に米国が変えてきたのである。ISOは米国の主張に完全に従うこととなった。
これに対して、2000年の米国における次世代暗号規格(AES)の選定をきっかけに、国際的には暗号アルゴリズムの標準化の要求が再度高まってきた。すなわち、アルゴリズムを標準化して、公開することにより、安全性や性能を公の場で審議し、その利用価値を評価することの重要性に気が付いたわけである。
上記は一例に過ぎないが、国際標準化は参加国の同意の中で成立していくものであるにも拘らず、ISOでもITU-Tでも参加国のうちの一国に過ぎないはずの「米国」の考え方が、標準化の方向性や方針に大きく影響を及ぼしていると言っても過言ではないと思う。
ITU-Tでは、欧米からの積極的な貢献(入力)が少ないことが問題視される。一方、中国、韓国からの提案(入力)が非常に増加している。特にセキュリティ規格については、ロシアの提案も増えてきている。
ロシア提案の軸には、「インターネットのトラヒックを国として監視し、不正を検知した場合にはそれらの規制・制御を実施する」というコンセプトがある。このコンセプトは、「インターネットエコノミー」での議論と同様なものとなっており、ロシアのこの考え方には、アラブ諸国、中国、南米諸国、一部アフリカ諸国などが賛同している。
一方、欧米主要国と同調する形で日本は、ロシア提案(インターネットの利用に関する「規制強化」、「利用者のパケットの中の検閲」など)に対して「反対表明」を行っており、セキュリティの国際規格であっても、インターネットの自由な利活用をベースにするべきとの主張を行っている。
このような状況において、日本も含めた欧米主要国は、ロシア提案、中国・韓国の提案(入力文書)に対し、適切な対応を行うことが必要となり、問題となる(自国に害を及ぼす可能性のある)規格化提案があった場合は、それらの規格化課題の成立に反対している。また、課題としては成立してしまい、それが規格案として最終段階の判断が必要な場合は、その規格の成立を阻み、規格を単純な資料として無効化する方向で対応しているのが現状である。(ITU-Tでは、規格を「勧告(Recommendation)」と呼び、単純な参考資料を「補遺(Supplement)」としている。補遺は参考であるため、規格としての意味は無効化される。)