情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度春期 午前Ⅱ 問1: デジタル庁，総務省及び経済産業省が策定した“電子政府における調達のために参照すべき暗号のリスト（CRYPTREC 暗号リスト）”に関する記述のうち，適切なものは

問題本文

デジタル庁，総務省及び経済産業省が策定した“電子政府における調達のために参照すべき暗号のリスト（CRYPTREC 暗号リスト）”に関する記述のうち，適切なものはどれか。

選択肢

• ア.CRYPTREC 暗号リストにある運用監視暗号リストとは，運用監視システムにおける利用実績が十分であると判断され，電子政府において利用を推奨する暗号技術のリストである。
• イ.CRYPTREC 暗号リストにある証明書失効リストとは，政府共用認証局が公開している，危殆化した暗号技術のリストである。
• ウ.CRYPTREC 暗号リストにある推奨候補暗号リストとは，安全性及び実装性能が確認され，今後，電子政府推奨暗号リストに掲載される可能性がある暗号技術のリストである。
• エ.CRYPTREC 暗号リストにある電子政府推奨暗号リストとは，互換性維持目的に限った継続利用を推奨する暗号技術のリストである。

正解

ウ. CRYPTREC 暗号リストにある推奨候補暗号リストとは，安全性及び実装性能が確認され，今後，電子政府推奨暗号リストに掲載される可能性がある暗号技術のリストである。

解説

CRYPTRECは政府が安全性を評価した暗号を整理する取組み。リストは3区分で、電子政府推奨暗号は十分な実績があり利用を推奨、推奨候補暗号は安全性・実装性能が確認され将来推奨入りの可能性があるもの、運用監視暗号は推奨から外れ互換性維持目的に限り継続利用するものを指す。ウはこの推奨候補暗号の定義に合致し正解。実務では採用する暗号アルゴリズムの選定根拠としてこのリストを参照する。

選択肢ごとの解説

• ア.運用監視暗号リストは互換性維持目的の継続利用に限るもので、利用推奨という説明は誤り。
• イ.証明書失効リスト(CRL)は失効した証明書の一覧でありCRYPTREC暗号リストの構成要素ではなく誤り。
• ウ.推奨候補暗号は安全性・実装性能が確認され将来推奨入りの可能性がある暗号で、定義どおり正しい。
• エ.互換性維持目的の継続利用は運用監視暗号の説明で、電子政府推奨暗号の定義としては誤り。