IT用語集 2024/11/13

CRYPTRECとは？ 10分でわかりやすく解説

コラム

共通鍵暗号や公開鍵暗号を選:contentReference[oaicite:0]{index=0}使う暗号技術を評価・監視し、暗号の適切な実装法や運用法を調査・検討する枠組みです。企業にとっては、調達要件の整理、暗号更改の説明、監査時の根拠整理に使いやすい一方、製品そのものの安全性を保証する制度ではありません。

CRYPTRECとは何か

CRYPTRECは、デジタル庁、総務省、経済産業省が関わる暗号技術検討会と、NICT・IPAが共同で運営する委員会群から成る暗号技術評価プロジェクトです。評価の対象は、電子政府で参照される暗号技術の安全性と実装性能、ならびに暗号の適切な利用方法です。企業実務では、暗号方式を選ぶ場面での基準点として読むと位置づけがつかみやすくなります。

押さえておきたいのは、CRYPTRECが製品認証や導入承認の制度ではない点です。リストに載っている暗号技術を使っていても、鍵管理、設定、実装、監査が不十分なら事故は起こります。逆に、暗号方式の選定理由を社内外へ説明したい場面では、参照先として使いやすい資料群がそろっています。

現在のCRYPTREC暗号リストはどう整理されているか

現在の「CRYPTREC暗号リスト」は、電子政府推奨暗号リスト、推奨候補暗号リスト、運用監視暗号リストで構成されています。さらに、現行暗号に加えて耐量子計算機暗号の扱いも整理されています。暗号方式だけを見て終わりにせず、鍵長の選択条件まで併せて確認します。

電子政府推奨暗号リスト	安全性と実装性能が確認され、市場での利用実績や今後の普及も踏まえて、電子政府の調達で参照されるリストです。利用する鍵長が設定基準に合っていることも前提になります。
推奨候補暗号リスト	安全性と実装性能が確認され、将来、電子政府推奨暗号リストへ入る可能性がある暗号技術の一覧です。採用判断では成熟度や相互運用性も併せて見ます。
運用監視暗号リスト	推奨すべき状態ではなくなったものの、互換性維持のために継続利用が容認される暗号技術の一覧です。新規採用の基準ではなく、置き換え計画を立てるための材料として読みます。

たとえば、AESやSHA-2のように広く使われる方式でも、CRYPTRECでは「どの鍵長や利用条件で使うか」まで含めて参照します。リストに載っているアルゴリズム名だけを見て済ませると、運用期間や接続先要件とずれることがあります。

CRYPTRECが企業の判断材料になる場面

調達要件を固める場面

官公庁案件や社会インフラに近い案件では、採用する暗号方式の説明責任が生じます。そのとき、CRYPTRECを参照すると、デジタル証明書、電子署名、TLS、VPNなどで使う暗号の選択理由を整理しやすくなります。調達仕様書や社内標準を作るときの出発点としては有用です。

暗号更改の優先順位を付ける場面

既存システムには、古い暗号方式が互換性のためだけに残っていることがあります。運用監視暗号リストに入っている方式は、「まだ動いている」ことと「新規採用の候補である」ことが同じではないと読み取る材料になります。更改計画を立てるときは、通信、保存、認証、署名のどこに古い方式が残っているかを棚卸しし、優先順位を付けます。

監査や説明資料を作る場面

監査では、なぜその暗号を選んだのか、将来の見直しをどう考えているかが問われます。CRYPTRECのリストや関連ガイドラインを使うと、方式の選定理由だけでなく、設定条件や見直し前提も文書化しやすくなります。特に、運用期間に応じた鍵長選択を説明したいときは、暗号強度要件の設定基準まで一緒に参照した方が抜けを抑えやすくなります。

誤解しやすい論点

「推奨暗号を使っている」だけでは足りない

暗号事故は、暗号方式の選定ミスだけで起こるわけではありません。鍵の保管場所、更新手順、乱数生成、証明書失効確認、ログの扱い、実装不備など、周辺設計の粗さで破綻する例もあります。たとえば、鍵を平文で保管する、CRLやOCSPの確認を適切に組み込まない、といった状態では、暗号方式の選定だけ整っていても不十分です。

暗号方式と暗号モジュールは分けて考える

CRYPTRECで中心になるのは暗号技術やその利用条件の評価です。一方、ソフトウェアやハードウェアに実装された暗号モジュールでは、実装の堅牢性、耐タンパー性、鍵保護、試験方法といった別の論点が出ます。CRYPTRECでは暗号モジュールの評価基準に関する検討も行われてきましたが、個別製品の安全性をそのまま認証する制度だと受け取ると読み違えます。

国際標準との整合も外せない

国内向けの説明力を整えるうえでCRYPTRECは有用ですが、グローバルサービスやクラウド利用では、国際標準や主要ベンダーの実装方針とも整合を取らなければなりません。取引先、ブラウザ、OS、アプライアンスの対応状況まで含めて確認しないと、採用した方式が相互接続で支障を生むことがあります。

企業が最初に手を付ける項目

暗号の棚卸し

最初にやるべきなのは、自社システムのどこでどの暗号を使っているかの洗い出しです。通信ならTLSやVPN、保存ならディスク暗号やバックアップ暗号、認証なら証明書や署名、鍵保護ならHSMの有無まで確認します。暗号の使いどころが見えていないままでは、CRYPTRECを見ても優先順位を付けられません。

鍵管理の点検

方式の選定と同じくらい、鍵管理の設計が結果を左右します。鍵の生成、配布、保管、更新、廃棄の流れを確認し、鍵のライフサイクルとして管理できているかを見ます。更新できない設計、アクセス権が広すぎる保管方法、監査証跡が残らない運用は、方式選定以前の問題として扱うべきです。

更改しやすい設計への見直し

暗号方式は将来必ず見直しが入ります。アルゴリズム名や鍵長をコードへ固定せず、設定変更やライブラリ更新で切り替えやすい形にしておくと、更改のコストを下げやすくなります。量子計算機への備えも含め、今の方式を固定資産のように扱わない設計が後の負担を軽くします。

まとめ

CRYPTRECは、日本の電子政府で使う暗号技術を評価・監視し、暗号の適切な実装法や運用法を調査・検討するプロジェクトです。企業にとっての使いどころは、暗号方式の採否を単独で決めることではなく、調達要件の整理、暗号更改の優先順位付け、監査対応の根拠整理に置くのが妥当です。読むときは、リスト掲載の有無だけで判断せず、鍵長条件、運用期間、鍵管理、実装、相互接続性まで合わせて確認します。