ITSCJ Information Technology Standards Commission of Japan
English
ITSCJトップ 情報処理学会ホームページ ISO/IEC JTC1 サイトマップ
最終更新日 2005-09-12
SC 27
(IT Security Techniques/セキュリティ技術)総会報告

SC 27専門委員会
委員長 宝木 和夫 ((株)日立製作所)

1. 開催場所: ウィーン(オーストリア)

2. 開催期間: 2005-04-17/18

3. 参加国数/出席者数: 23カ国/60名

 議長(Walter Fumy,独),セクレタリ(Krystyna Passia,独),豪(3),ベルギー(2),加(3),中(5),エストニア(1),仏(2),独(2),印(1),ケニア(1),韓(2),マレーシア(7),ノルウェー(1),ポーランド(1),露(2),シンガポール(5),南ア(1),スペイン(1),スウェーデン(2),スイス(1),英(2),米(10),スロバキア(1),日(7:竜田敏男[日本IBM],苗村憲司[慶應大],大塚玲[IPA],櫻井幸一[九大],平野芳行[NEC],岸田明[富士通],宝木和夫)

4. 概要

 SC 27は複数SCで共通的に使用される情報セキュリティの技術の標準化を担当している.今回,ウィーン会議で日本が主に重点をおいて対処した点は,WG 1でのISMS(情報セキュリティマネジメントシステム)関連の標準化作業と,WG 2,WG 3でそれぞれ担当するバイオメトリクス標準化(ISO/IEC 24745,19792)への対処であった.さらに,ハッシュ関数(ISO/IEC 10118)など既存の標準の見直し,あるいは,ID管理(Study Period),タイムスタンプ(ISO/IEC 18014)など新しい標準化の動きについても大きな関心を持って臨んだ.

5.主なプロジェクトの進捗状況
5.1 WG 1(情報セキュリティ要求条件と統合技術)

  1. 情報セキュリティマネジメント関連の標準化(ISO/IEC 17799,24743,24742)

     情報セキュリティマネジメントの実践のための規範(ISO/IEC 17799,2nd Edition)については,IS化が決定し,6月にISO標準書が発行されること,および,2年後にはISO/IEC 17799から27002に番号変更される見通しとなった.また,情報セキュリティマネジメントシステム(ISMS)仕様(ISO/IEC 24743)については,セキュリティマネジメントシステム(ISMS)要求事項(ISO/IEC 27001)へ番号変更と改題がなされたうえで,FDISに進んだ.同様に,ISMS Metrics & Measurement(ISO/IEC 24742)は,ISO/IEC 27004へ番号変更され,WDとして再審議されることとなった.

  2. セキュリティ管理とバイオメトリクスのStudy Period

     WG 1でのバイオメトリクスに関する本審議は,寄書がなく,中止となった.ただし,後述するようにWG 2とWG 3におけるバイオメトリクスに関する別の観点からの審議は進展している.

  3. その他のWG 1標準化項目

     侵入検知システム(ISO/IEC 18043)は,FCDに進むとともに,ITネットワークセキュリティ(ISO/IEC 18028)については,Part 1「ネットワークセキュリティ管理」とPart 5 「VPNを使ったセキュアな通信」はFCDに,Part 2「ネットワークセキュリティアーキテクチャ」とPart 3「セキュリティゲートウェイを使ったセキュアな通信」は新たにFDISに進むことになった.なお,Part 4「セキュアなリモートアクセス」は既にFDISに進んでいる.ITセキュリティマネジメントガイドライン(GMITS: ISO/IEC TR 13335)は,「情報と通信技術のセキュリティ管理」と改題され,Part 2「情報セキュリティのリスク管理」はCDに進むこととなった.

5.2 WG 2(セキュリティ技術とメカニズム)

  1. バイオメトリクスデータの認証のStudy Period

     日本から提案していた寄書は,SC 37で扱うべきという議論もあったが,プロトコルの規定が必要であり,SC 27/WG 2が適切であるとの結論になった.日本寄書はNP”Biometric Authentication Context”に進むことになるとともに,才所オブザーバ(東芝ソリューション)がエディタとして指名された.

  2. 暗号アルゴリズム関連の標準化項目

     2003年度に引き続き,暗号アルゴリズム標準(ISO/IEC 18033)に日本提案を入れるべく積極的に活動した.このプロジェクトは,パート1:総論,パート2:非対称暗号,パート3:ブロック暗号,パート4:ストリーム暗号の4部構成となっている.今回,パート2がFDISに進むことになった.なお,パート1はIS化,パート3とパート4はFDISに進んでいる.また,パート4については,ストリーム暗号Rabbitを追加するAmendmentの作成提案があった.これを受けて,各国NBに追加のストリーム暗号を募集し,結果を見てTechnical Amendmentを作成するか否かを検討することになった.

  3. ディジタル署名関連の標準化

     宮地委員(北陸先端大)がエディタをしているメッセージ復元型ディジタル署名パート3(ISO/IEC 9796-3)は,FDISに進むことになった.添付型ディジタル署名パート3:離散対数ベースのメカニズム(ISO/IEC 14888-3)は,FCDに進むことになった.大塚WG 2セクレタリ(IPA)がエディタを務める添付型ディジタル署名パート1:一般(ISO/IEC 14888-1)は1st CDへ進む.楕円曲線に基づく暗号技術パート1:一般(ISO/IEC 15946-1)は,宮地委員がエディタとなることが承認された.

  4. その他の標準化項目

     タイムスタンプサービス(ISO/IEC 18014)の改訂版について審議が行われ,Part 1「フレームワーク」とPart 2「独立トークンの生成メカニズム」のWDが作成されることとなった.さらに,Part 1のエディタは空本委員(アマノ)が行うこととなった.乱数ビットの生成(ISO/IEC 18031)は,FDISに進むことになった.専用ハッシュ関数(ISO/IEC 10118-3)については,SHA-1の安全性低下を示す研究結果に対するSC 27の対応として,SHA-1に関するSC 27のステートメント案を作成し,SC 27内のレビューを経てSC 27のHPに掲載する方向となった.また,米連邦標準FIPS 180-2に採用したSHA-224の追加,および動作確認用のテストベクタの追加案がFDAM投票にかけられることとなった.ブロック暗号を使ったメッセージ認証コード(ISO/IEC 9797-1)は,米国NIST標準に記載されたCMAC等が追加された形でCDに進むこととなった.

5.3 WG 3(セキュリティ評価基準)

  1. セキュリティ評価関連

     セキュリティ評価基準(ISO/IEC 15408)およびセキュリティ評価方法論(ISO/IEC 18045)に関しては,ITTFから発行されるCCのV2の2005年版あるいはコメントを待っている状態.その間,Study periodとしてCCのV3をレビューすることとなった.田渕委員(製品評価技術基盤機構)がエディタをしている運用システムのセキュリティアセスメント(ISO/IEC TR 19791)は,DTRに進んだ.

  2. バイオメトリックスの評価とテスト(ISO/IEC 19792)

     SC 37の用語および参照モデルとの整合性をとることなどの修正を加え,4th WDを作成し,次回にCDを目指すこととなった.なお,日本NBの貢献が必要であるため,コエディタに三村リエゾン(SC37専門委員会からのリエゾン,日立)が指名された.

  3. 暗号モジュールのためのセキュリティ要件(ISO/IEC 19790)

     Tamper protectionの定義などを見直し,FDISに進むこととなった.

  4. IS(1st edition)発行

     ITセキュリティ保証(FRITSA)パート1:オーバビューとフレームワーク(TR 15443-1)のTRは2005年4月に,プロテクションプロファイルとセキュリティターゲットの作成のガイド(TR 15446)のTRは2004年7月に発行された.

5.4 SC 27直下の作業

 ID管理については,2005年10月のWG 1マレーシア会議に向けてNP投票と同時にWDが作成されることとなった.

6. その他(今後の進め方に関する特記事項)
6.1 暗号アルゴリズム標準化(18033)への対応

 暗号アルゴリズムの標準化活動はFDISまたはIS化に進み,多数の日本方式(PSEC,HIME(R),MISTY1,Camellia,MUGI,MULTI-S01)が入ることが確定した形で技術的審議は終了した.後は編集作業が残っているがISとして正式に発行するまで注意していく.

 なお,本標準化に伴い,暗号アルゴリズム登録制度 (9979) は廃止の投票にかけるようITTFに進言することが決定した.

6.2 バイオメトリクスへの対応

 バイオメトリクスについては,SC 27では主にセキュリティの観点から貢献している.この技術は,市場の緊急性を考慮し,早急な標準化が求められている.今回,WG 2では,才所オブザーバが「Biometric Authentication Context」のエディタを,また,WG 3では,三村リエゾンが「バイオメトリクスのセキュリティ評価とテスト」のコエディタに指名されるなど,日本の主導で進みつつある.引き続きSC 37関係者と連携して進めていく.

6.3 専用ハッシュ関数,メッセージ認証コード

 専用ハッシュ関数10118-3において標準化されている方式のうちSHA-1は,すでに多くのセキュリティ製品で使われている方式である.最近,SHA-1の安全性低下を示す論文が発表されているが,これをISOがどのように評価し扱うかによって,影響が大きく出る恐れがある.今後ISOでは,何らかの評価を行った後,Webで公表する動きだが,これについてもよく注視し,場合によっては必要なアクションを起こしていく.

 また,メッセージ認証コードについては,日本の考案によるCMACがノミネートされるなど,日本のスタンスを上げる良い動きとなっているが,それがゆえになおさら,客観的,公平に評価がなされるようよく注意していくことが重要と思われる.

7. 今後の開催予定

 2006-05-16/17  Madrid(スペイン)

BackPage Top
社団法人 情報処理学会 情報規格調査会
Copyright(C) 2000 Information Processing Society of Japan All Rights Reserved
スタッフへのメールはこちらへ