情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和4年度春期 午前Ⅱ 問10: CRYPTRECの主な活動内容はどれか。

問題本文

CRYPTRECの主な活動内容はどれか。

選択肢

• ア.暗号技術の技術的検討並びに国際競争力の向上及び運用面での安全性向上に関する検討を行う。
• イ.情報セキュリティ政策に係る基本戦略の立案，官民における統一的，横断的な情報セキュリティ対策の推進に係る企画などを行う。
• ウ.組織の情報セキュリティマネジメントシステムを評価して認証する制度を運用する。
• エ.認証機関から貸与された暗号モジュール試験報告書作成支援ツールを用いて暗号モジュールの安全性についての評価試験を行う。

正解

ア. 暗号技術の技術的検討並びに国際競争力の向上及び運用面での安全性向上に関する検討を行う。

解説

CRYPTRECは、電子政府などで利用する暗号技術の安全性を評価・監視し、推奨暗号リストの作成や運用の安全性向上を検討する活動を行う。暗号の技術的検討と安全な利用の推進が中心で、アが正解。実務では危殆化した暗号(SHA-1や短い鍵長等)の使用回避や、推奨暗号への移行判断の根拠としてCRYPTRECの成果が参照される。

選択肢ごとの解説

• ア.暗号技術の技術的検討と安全性向上を行う活動という記述がCRYPTRECの役割で、これが正解。
• イ.情報セキュリティ政策の基本戦略立案や官民横断の推進はNISC等の役割であり、暗号評価を担うCRYPTRECとは異なり誤り。
• ウ.ISMSを評価し認証する制度の運用はISMS認証機関等の役割で、暗号技術を扱うCRYPTRECとは異なり誤り。
• エ.暗号モジュールの安全性評価試験を行うのは試験機関の説明で、暗号技術全体を評価検討するCRYPTRECとは異なり誤り。