情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 科目A サンプル問題 問7: CRYPTRECの役割として，適切なものはどれか。

問題本文

CRYPTRECの役割として，適切なものはどれか。

選択肢

• ア.外国為替及び外国貿易法で規制されている暗号装置の輸出許可申請を審査，承認する。
• イ.政府調達においてIT関連製品のセキュリティ機能の適切性を評価，認証する。
• ウ.電子政府での利用を推奨する暗号技術の安全性を評価，監視する。
• エ.民間企業のサーバに対するセキュリティ攻撃を監視，検知する。

正解

ウ. 電子政府での利用を推奨する暗号技術の安全性を評価，監視する。

解説

CRYPTREC（Cryptography Research and Evaluation Committees）は、電子政府で利用される暗号技術の安全性を評価・監視し、推奨できる暗号アルゴリズムをまとめた電子政府推奨暗号リストを策定するプロジェクトである。安全性の評価・監視を役割とするウが正しい。

選択肢ごとの解説

• ア.外為法に基づく暗号装置の輸出許可審査は経済産業省などの行政手続であり、CRYPTRECの役割ではない。
• イ.IT製品のセキュリティ機能を評価・認証するのはISO/IEC 15408に基づくJISEC（IT製品評価)であり、CRYPTRECではない。
• ウ.電子政府で利用を推奨する暗号技術の安全性評価・監視はCRYPTRECの役割であり、正しい。
• エ.民間サーバへの攻撃の監視・検知はSOCやJPCERT/CCなどが担う業務で、CRYPTRECの役割ではない。