セキュリティに関わる技術や製品の有効性を、客観的定量的に評価できたら最高以外の何ものでもないが、そこには「どんな事業で」「何を守るために」「どのように運用するか」といった変数が多数存在し、各社千差万別である。
製品評価に一律の基準を設けることは容易ではないが、ここにセキュリティ技術の優劣を定量的に明確に白黒つけることができる夢の領域が存在した。暗号である。
暗号はどれだけ時間をかければ破ることができるのか等を、それこそ定量的に計算し算出することができる。だから採用の可否をゼロイチで決めることが可能だ。
「 CRYPTREC(クリプトレック)」とは、日本政府の暗号の採用可否を助言する複数の会議体の総称である。暗号における評価手法を、そのままセキュリティ製品一般に適用することなどもちろんありえない。しかし、評価がどのような手順で行われ、どのような役割を担った組織分掌が行われているかを知ることは有効ではあるまいか。そんな目論見のもと ScanNetSecurity 編集人 上野を聞き手に本取材は敢行された。
◇
――量子コンピュータ以外に、暗号の世界に何か大きな変化はありましたか。
【独立行政法人情報処理推進機構】 2000 年より前に比べて圧倒的に変わったのは、ふだん意識しているか、していないかを別にして、日常生活において暗号が使われる場面が自然に激増したことです。SSL は普通になりました。オンラインバンキング、オンラインショップ、IC カードで電車に乗る、全て暗号がないとお話にならない世界になった。
もう一つは、使われている暗号がきちんと評価されたり、ちゃんと標準化されたりしたものになりました。ベンダーが、評価され標準化された暗号を使って製品を作るようになりました。2000 年以前は、どこかのベンチャー企業が「俺が作ったこの暗号すごいですよ」と言って製品を売っていたのです。
【総務省】いまおっしゃっていただいた通りです。インターネットが普及したばかりの頃は、HTTP で暗号化してないのが当たり前でした。今はもう、暗号化されてないと Google の場合ページランクが下がります。 常時 SSL/TLS があたりまえになった。
製品評価に一律の基準を設けることは容易ではないが、ここにセキュリティ技術の優劣を定量的に明確に白黒つけることができる夢の領域が存在した。暗号である。
暗号はどれだけ時間をかければ破ることができるのか等を、それこそ定量的に計算し算出することができる。だから採用の可否をゼロイチで決めることが可能だ。
「 CRYPTREC(クリプトレック)」とは、日本政府の暗号の採用可否を助言する複数の会議体の総称である。暗号における評価手法を、そのままセキュリティ製品一般に適用することなどもちろんありえない。しかし、評価がどのような手順で行われ、どのような役割を担った組織分掌が行われているかを知ることは有効ではあるまいか。そんな目論見のもと ScanNetSecurity 編集人 上野を聞き手に本取材は敢行された。
――量子コンピュータ以外に、暗号の世界に何か大きな変化はありましたか。
【独立行政法人情報処理推進機構】 2000 年より前に比べて圧倒的に変わったのは、ふだん意識しているか、していないかを別にして、日常生活において暗号が使われる場面が自然に激増したことです。SSL は普通になりました。オンラインバンキング、オンラインショップ、IC カードで電車に乗る、全て暗号がないとお話にならない世界になった。
もう一つは、使われている暗号がきちんと評価されたり、ちゃんと標準化されたりしたものになりました。ベンダーが、評価され標準化された暗号を使って製品を作るようになりました。2000 年以前は、どこかのベンチャー企業が「俺が作ったこの暗号すごいですよ」と言って製品を売っていたのです。
【総務省】いまおっしゃっていただいた通りです。インターネットが普及したばかりの頃は、HTTP で暗号化してないのが当たり前でした。今はもう、暗号化されてないと Google の場合ページランクが下がります。 常時 SSL/TLS があたりまえになった。
