メインコンテンツへ
セキュリティ情報セキュリティ管理

CRYPTRECが作成する「電子政府推奨暗号リスト」に関する説明として、最も適切なものはどれか。

ア.特定の企業が独自に開発した暗号アルゴリズムを政府が認定するリストであり、政府システムで使用が義務付けられる
イ.解読されてしまった危険な暗号のみをリストアップして、使用禁止を通知するブラックリスト
ウ.NISCが管理するリストであり、日本国内での暗号輸出規制の対象アルゴリズムをまとめたもの
エ.日本の電子政府システムでの利用を推奨する暗号技術を安全性・実装性の観点から評価・選定したリストであり、定期的に見直される正解

解説

CRYPTRECリストは「政府公認の暗号アルゴリズム格付け表」。国が暗号の専門家を集めて安全性と使いやすさを徹底評価し、「これなら安心して使ってよし」とお墨付きを出したリストです。

なぜ エ が正解か

CRYPTRECは総務省・経済産業省の指導の下、国立情報学研究所・産業技術総合研究所などが参加する暗号評価プロジェクトです。「電子政府推奨暗号リスト」は安全性・実装性・汎用性の観点から評価した推奨アルゴリズムを掲載します。定期的に見直され、安全性が低下したアルゴリズムは「運用監視暗号リスト」や「推奨しない」に移動します。

なぜ ア は間違いか

特定企業の独自暗号を認定するリストではありません。CRYPTRECは公開アルゴリズムを第三者評価する機関であり、独自暗号(プロプライエタリ暗号)は推奨対象外です。

なぜ イ は間違いか

危険な暗号を列挙するブラックリストとは異なります。CRYPTRECリストは推奨する暗号のポジティブリストです(ただし要監視リストも並行して公開)。

なぜ ウ は間違いか

CRYPTRECはNISC(内閣サイバーセキュリティセンター)ではなく総務省・経済産業省管轄です。また暗号輸出規制は外為法の管轄であり、CRYPTRECの目的ではありません。

出典: AI生成問題(学習用)