【どう対応する？ 暗号2010年問題（後編）】 政府は2013年度内の移行を発表

　前回は2010年を節目として暗号アルゴリズムの移行が予定されていることと、EV-SSLと携帯の関係を事例として、日本特有の問題点を述べた。実は2010年末に暗号アルゴリズムを移行させるようにとの勧告を出しているのは、アメリカ国立標準技術研究所（National Institute of Standards and Technology＝NIST）という組織だ。NISTは本来、米国政府の調達基準を定める機関であるが、民間にも極めて大きな影響力があり、暗号などについても事実上の標準となっている。これまで取り上げたEV-SSLのガイドラインもNISTの勧告に準拠したものだ。

　一方、日本では本年4月に内閣官房情報セキュリティセンター（NISC）が、政府の情報システムで使用する暗号アルゴリズムを2013年度までに移行する方針を発表した。だが、残念ながらわが国の場合は民間の規範となるべく発表されたものではなく、あくまで「政府の政府による政府のための」基準にすぎない。

　つまり民間は、それぞれ独自に暗号に関する基準や移行のスケジュールを決定する必要に迫られるが、個々の事業者が最新の学術的研究結果と実際に採用した場合の費用対効果、さらには相互運用性のバランスを取って暗号アルゴリズムを適切に選定することは、かなり困難な作業となるだろう。

　前述の通り、日本市場では、携帯をはじめとする組み込み系機器での暗号の利用も多く、移行には諸外国に比べてより長い期間が必要であると考えられる。本来はより早い時期から準備を進めるべきだが、このまま民間における標準化やスケジュールのコンセンサスをとる動きが出ないまま進んだ場合、諸外国に比較して移行が著しく遅れることが危惧される。結果としてもたらされるものは、単なる暗号の安全性の低下だけではない。

　相互運用性を考えなくてもよい閉じたシステムはともかく、そうではないシステムで、移行が長期間に渡るということは、必然的に両方の標準を運用し続けることになる。しかも、下位にあたる基準は日本国内でしか使えない。よって、ダブルスタンダードを維持するコストを、国内の事業者やユーザが負担しなくてはならない。結果として国際競争力が失われ、セキュリティ産業の空洞化を招くことも想像に難くない。思えば、色々なところで同じ様なことが起きていないだろうか?

　2006年2月、政府は情報セキュリティ政策会議において「情報セキュリティ立国」の理念を掲げ、世界一安全な国としての「ジャパンモデル」の確立を目指す、とした。暗号の研究で日本は世界有数の実力を持っているが、その成果を社会が享受できるまでには、道半ばと言わざるを得ない。今後の日本の取り組みが、将来他の国からお手本とされるような「ジャパンモデル」として実現されることを期待したい。