情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成31年度春期 午前Ⅱ 問9: 総務省及び経済産業省が策定した“電子政府における調達のために参照すべき暗号のリスト（CRYPTREC 暗号リスト）”に関する記述のうち，適切なものはどれか。

問題本文

総務省及び経済産業省が策定した“電子政府における調達のために参照すべき暗号のリスト（CRYPTREC 暗号リスト）”に関する記述のうち，適切なものはどれか。

選択肢

• ア.CRYPTREC 暗号リストにある運用監視暗号リストとは，運用監視システムにおける利用実績が十分であると判断され，電子政府において利用を推奨する暗号技術のリストである。
• イ.CRYPTREC 暗号リストにある証明書失効リストとは，政府共用認証局が公開している，危殆化した暗号技術のリストである。
• ウ.CRYPTREC 暗号リストにある推奨候補暗号リストとは，安全性及び実装性能が確認され，今後，電子政府推奨暗号リストに掲載される可能性がある暗号技術のリストである。
• エ.CRYPTREC 暗号リストにある電子政府推奨暗号リストとは，互換性維持目的に限った継続利用を推奨する暗号技術のリストである。

正解

ウ. CRYPTREC 暗号リストにある推奨候補暗号リストとは，安全性及び実装性能が確認され，今後，電子政府推奨暗号リストに掲載される可能性がある暗号技術のリストである。

解説

CRYPTREC暗号リストは、電子政府推奨暗号リスト、推奨候補暗号リスト、運用監視暗号リストの3区分から成る。推奨候補暗号リストは、安全性と実装性能が確認され将来電子政府推奨暗号リストに掲載される可能性がある技術の一覧で、ウが正しい。実務では調達時の暗号選定基準となり、危殆化した暗号の利用回避や移行判断に用いる。

選択肢ごとの解説

• ア.運用監視暗号リストは互換性維持目的での継続利用に限るもので、利用を積極推奨する区分ではないため誤り。
• イ.証明書失効リスト(CRL)はCRYPTRECの暗号リストの区分ではないので誤り。説明も混同している。
• ウ.安全性と実装性能が確認され将来電子政府推奨暗号に掲載されうる技術の一覧という推奨候補の説明が正解。
• エ.互換性維持目的の継続利用推奨は運用監視暗号リストの性格で、電子政府推奨暗号リストの説明ではないため誤り。