CRYPTREC|情報処理安全確保支援士試験 令和4年春期午前Ⅱ 問10
出典:令和4年春期 午前Ⅱ 問10
分野:セキュリティ / 情報セキュリティ管理
CRYPTRECの主な活動内容はどれか。
- ア:暗号技術の技術的検討並びに国際競争力の向上及び運用面での安全性向上に関する検討を行う。
- イ:情報セキュリティ政策に係る基本戦略の立案,官民における統一的,横断的な情報セキュリティ政策の推進に係る企画などを行う。
- ウ:組織の情報セキュリティマネジメントシステムについて評価し認証する制度を運用する。
- エ:認証機関から貸与された暗号モジュール試験報告書作成支援ツールを用いて暗号モジュールの安全性についての評価試験を行う。
TSUNAGARU-ADVICE
まず押さえたいこと
CRYPTRECは、電子政府などで利用する暗号技術について、安全性や実装性能、運用面での安全性を検討する活動を行っています。
迷ったときの判断軸
情報セキュリティ政策全体の企画・推進はNISC、ISMSの評価認証はISMS適合性評価制度、暗号モジュールの評価試験は別の制度に関係します。CRYPTRECは、暗号技術そのものの技術的評価や運用面の検討を行う取組と整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、暗号技術を選定・利用する場面で、どの暗号が安全と評価されているか、どのリストを参照するかが問われることがあります。CRYPTRECは、暗号技術の安全性を評価し、電子政府などでの利用判断に役立てる枠組みとして理解しておきましょう。
CRYPTRECは、日本で使う暗号技術の安全性を評価・監視するためのプロジェクトです。
主に、電子政府などで安心して使える暗号方式を選ぶために、暗号技術が十分に安全かどうかを調査・検討しています。
評価の対象には、共通鍵暗号・公開鍵暗号・ハッシュ関数・擬似乱数生成系などがあります。
CRYPTRECは、これらの暗号技術について評価レポートを作成したり、推奨できる暗号のリストを示したりします。
つまりCRYPTRECは、「安全に使える暗号技術を評価し、推奨するためのプロジェクト」と考えると分かりやすいです。
したがって、アが適切です。
❌他選択肢が誤りの理由イ:情報セキュリティ政策に係る基本戦略の立案,官民における統一的,横断的な情報セキュリティ政策の推進に係る企画などを行う。
⇒政府全体のサイバーセキュリティ政策を推進する組織に関する説明です。CRYPTRECは政策全般の企画を行う組織ではなく、暗号技術の安全性評価や推奨暗号の検討を主な活動とします。
ウ:組織の情報セキュリティマネジメントシステムについて評価し認証する制度を運用する。
⇒ISMS適合性評価制度の説明です。組織の情報セキュリティマネジメントシステムを評価・認証する制度であり、暗号技術そのものを評価・検討するCRYPTRECとは対象が異なります。
エ:認証機関から貸与された暗号モジュール試験報告書作成支援ツールを用いて暗号モジュールの安全性についての評価試験を行う。
⇒暗号モジュール試験に関する説明です。暗号モジュールの評価試験を行う機関や試験制度の説明であり、CRYPTRECの主な活動である暗号技術の技術的検討や推奨暗号リストの検討とは異なります。