情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成31年度春期 午前 問3: CRYPTRECの役割として，適切なものはどれか。

問題本文

CRYPTRECの役割として，適切なものはどれか。

選択肢

• ア.外国為替及び外国貿易法で規制されている暗号装置の輸出許可申請を審査，承認する。
• イ.政府調達においてIT関連製品のセキュリティ機能の適切性を評価，認証する。
• ウ.電子政府での利用を推奨する暗号技術の安全性を評価，監視する。
• エ.民間企業のサーバに対するセキュリティ攻撃を監視，検知する。

正解

ウ. 電子政府での利用を推奨する暗号技術の安全性を評価，監視する。

解説

CRYPTREC（Cryptography Research and Evaluation Committees）は、電子政府で利用する暗号技術の安全性を評価・監視し、推奨できる暗号アルゴリズムのリスト（電子政府推奨暗号リスト）を策定・更新する日本のプロジェクトである。したがって、電子政府で利用を推奨する暗号技術の安全性を評価・監視するとしたウが適切である。

選択肢ごとの解説

• ア.暗号装置の輸出許可申請の審査・承認は外為法に基づく経済産業省の所管であり、CRYPTRECの役割ではない。
• イ.政府調達におけるIT製品のセキュリティ機能の評価・認証はITセキュリティ評価及び認証制度（JISEC）が担うものであり、CRYPTRECではない。
• ウ.電子政府推奨暗号の安全性を評価・監視するのがCRYPTRECの役割そのものであり、正しい。
• エ.民間サーバへの攻撃の監視・検知はSOCやセキュリティ監視サービスが行うものであり、CRYPTRECの役割ではない。