SC 27 専門委員会 (情報セキュリティ,サイバーセキュリティ及びプライバシー保護)

第1 種専門委員会

SC 27 専門委員会(情報セキュリティ,サイバーセキュリティ及びプライバシー保護/ Information security, cybersecurity and privacy protection)

<2024年度委員会活動報告>

委員長 崎村 夏彦(JIPDEC)

1. スコープ

 SC 27では,以下のようなセキュリティとプライバシーの両方の側面に対処するための一般的な方法,技術,ガイドライン等,情報とICTの保護のための標準の開発が行われている.

  •  セキュリティ要求事項の適切な獲得手法.
  •  情報及びICTセキュリティの管理(特に情報セキュリティマネジメントシステム(ISMS),セキュリティプロセス,セキュリティ管理及びサービス).
  •  暗号およびその他のセキュリティメカニズム(例:情報の説明責任,可用性,完全性,機密性を保護するためのメカニズム).
  •  セキュリティ管理を支援する文書(例:用語,ガイドライン,及びセキュリティコンポーネントの登録のための手順を含む).
  •  ID 管理,バイオメトリクス,プライバシーのセキュリティの側面
  •  情報セキュリティマネジメントシステム分野における適合性評価,認定及び監査の要求事項
  •  セキュリティ評価基準及び方法論

 SC 27 では,関連分野における SC 27 規格及び技術報告書の適切な開発及び適用を確実にするために,適切な機関との積極的な連絡及び協力を行っている.

 本標準化活動は,1981年に暗号の標準化審議から始まり,その後対象を年々広げ,現在以下6つのWGに分かれて標準化が行われている.SC 27/WG 1(情報セキュリティマネジメントシステム),SC 27/WG 2(暗号とセキュリティメカニズム),SC 27/WG 3(セキュリティの評価・試験・仕様),SC 27/WG 4 (セキュリティコントロールとサービス),SC 27/WG 5(アイデンティティ管理とプライバシー技術) SC27/JWG7 (サイバーセキュリティ試験とバイオメトリクスの評価) .

 これまでに253の国際規格を発行,現在75の規格を開発中である.

2. 参加国

a) 参加国,幹事国(セクレタリ),議長

 積極的参加国(Participating Countries)の数は55カ国,オブザーバ国(Observing countries)の数は37カ国.幹事国(セクレタリ)はドイツ,議長はDr Andreas Wolf(ドイツ).

 b) 日本からの役職引き受け状況

  •  WG 2コンビーナ:吉田博隆(産業技術総合研究所),WG 2副コンビーナ:近澤武(IPA),WG 3副コンビーナ:甲斐成樹(IPA),JWG 7副コンビーナ:甲斐成樹(IPA)
  • Liaison: Liaison Officer from SC27 to SC41: 中尾,Liaison Officer from ITU-T SG17 to SC27: 中尾
  • 規格化作業中のエディタ/コエディタ17名(延べ人数)
  • Editor: 中尾(ISO/IEC TS 5689),山田(ISO/IEC 19792),後藤(ISO/IEC 27017),﨑村(29100:2024 ※2024年2月発行),大熊(29134:2023 ※2023年5月発行), 甲斐(ISO/IEC 19989-1),辛 星漢(ISO/IEC 11770-4 REV),渡辺 大(ISO/IEC 29192-1 AMD 1),小菅 悠久(ISO/IEC 29192-4 AMD 2),佐々木 悠(18033-7 AMD 1, 29192-8 AMD 1)
  • Co-editor: 山田(27553-2),畔津(27706 ※27006-2),古原 和邦(ISO/IEC 11770-4 REV,20009-4 AMD 1),鈴木 幸太郎(ISO/IEC 29192-4 AMD 2),草川 恵太 (ISO/IEC 29192-1 AMD 1),佐々木 悠(ISO/IEC 29192-4 AMD 2),木下 翔太郎(ISO/IEC TS 5689)

3. トピックス

a) WG1 Information security management systems関連

 ISO/IEC 27019(エネルギー業界のための情報セキュリティ管理策)は,2024年10月に発行された.

 ISO/IEC 27013(情報セキュリティ, サイバーセキュリティ, プライバシー保護-ISO/IEC 27001及びISO/IEC 20000-1の統合的実施の手引)については,追補版が2024年12月に発行された.

 サイバーセキュリティに関するガイドラインであるISO/IEC TR 27103(サイバーセキュリティとISO及びIEC規格)は,NIST CSF(サイバーセキュリティフレームワーク)をはじめとする業界標準のサイバーセキュリティフレームワークとの関係を整理した文書であり,現在DTSとして審議中である.

 また,現在DISとして,次の2つの規格の審議が進められている.

 ISO/IEC 27000 (ISMS概要)は,今回の改訂において,ISO/IEC 27001関連規格の用語定義を削除し,表題も「情報セキュリティマネジメントシステム-概要及び用語」から,「情報セキュリティマネジメントシステム-概要」へ変更.ISMS及びISMS規格の概要を提供する規格として改訂中.

 ISO/IEC 27017(ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策)は,ISO/IEC 27002:2022との整合を図るため,最近のクラウド動向等に対応して管理策,手引を更新するために改訂中.後藤 里奈(情報通信研究機構)がエディタを務める.
 

b) WG2 Cryptography and security mechanisms関連

  • ISO/IEC 11770-3 AMD1 (Key management,Part 3: Mechanisms using asymmetric techniques)

公開鍵暗号等の非対称なテクニックを用いた認証付き鍵交換方式を定める規格であり,日本からの提案技術も含まれている.順調にステージを進め,2025年4月に出版された.

  • ISO/IEC 20008-3(Anonymous digital signatures,Part 3: Mechanisms using multiple public keys)

匿名署名の1つであるリング署名を定める規格であり,日本からの提案技術も含まれている.コエディタを務めている鈴木 幸太郎(豊橋技術科学大)の尽力により大きく加速し,2024年12月に出版された.

  • ISO/IEC 18033-7 AMD 1(Encryption algorithms,Part 7: Tweakable block ciphers)

調整可能ブロック暗号に関する規格であり,日本から提案された「SKINNYe」を追補として盛り込む形で,規格開発が開始された.佐々木 悠(NTT)がエディタを務める.

  • ISO/IEC 29192-4 AMD 2(Lightweight cryptography,Part 4: Mechanisms using asymmetric techniques)

公開鍵暗号等の非対称なテクニックを用いた軽量暗号を定める規格であり,日本から提案された「NTRU」を追補として盛り込む形で,規格開発が開始された.小菅 悠久(NTT)がエディタを務め,鈴木 幸太郎(豊橋技術科学大)および佐々木 悠(NTT)がコエディタを務める.

  • ISO/IEC 29192-8 AMD 1(Lightweight cryptography,Part 8: Authenticated encryption)

調整可能ブロック暗号モードに関する規格であり,日本から提案された「PFB_Plus」を追補として盛り込む形で,規格開発が開始された.佐々木 悠(NTT)がエディタを務める.
 

c) WG3 Security evaluation,testing and specification関連

  • ISO/IEC 15408/18045

CCRAよりの修正要望等を受けて当該標準の改訂が開始されており,現在FDIS投票に進むための準備をしている.

  • ISO/IEC 19790/24759

最新の技術動向を反映させるため当該標準の改訂が開始されており,FDIS投票を経た後出版された.
 

d) WG4 Security controls and services関連

  • ISO/IEC 27404 Cybersecurity labelling framework for consumer IoT の策定
消費者向けIoT製品のセキュリティ評価をラベル付けする制度の整備が各国で進展している.本規格は,各国が制度策定において参考にするフレームワークを規定するものである. Committee Draft から Draft International Standardへ進んだ.
  • ISO/IEC TS 5689 Security frameworks and use cases for cyber physical systems の策定
サイバー・フィジカル・システムのセキュリティ・フレームワークと事例についての技術仕様書である.日本から提案した規格開発である.Working Draftの検討を進めている.
 

e) WG5 Identity management and privacy technologies関連

 ISO/IEC 27701はISO中央事務局より「27001,27002の拡張規格ではなくタイプA MSSのスタンドアロン規格である」との指摘を受け,マネジメントシステム規格に適用されるharmonized structureに沿った構成へと変更されることとなった.2025年秋に発行見込みである.

 27701の審査及び認証を行う機関に対する要求事項を定めた27006-2も27006のマルチパート規格ではなくなり,規格番号も27706に変更され,2025年2月にFDIS投票は終了,27701発行後に発行予定である.

 ISO/IEC 24760  「アイデンティティマネジメントの枠組み」の「パート1:用語及び概念」,「パート2:参照アーキテクチャ及び要件」,「パート3:実践」のFDIS投票がいずれも2024年12月から2025年2月にかけて行われ,いずれも賛成で2025年発行見込みである.
 

4. 日本対応/方針

a) WG1関連

 ISO/IEC27000の改訂案は,他の規格で引用する用語及び定義を提供する役割を無くすことになるため,ISO/IEC 27000の用語及び定義を引用している文書は,それぞれの中に必要な用語及び定義を追加する等の対処が必要となる.しかし,ISO/IEC 27001を含む多数の文書で必要な対処が進められておらず,ISO/IEC 27000の改定を実施すると,多数の文書で用語及び定義を失うことになるため,本改定作業をとめて,他の文書での対応を促進するよう提案する.
 

b) WG2関連

 現在規格化作業が進行中の以下の案件については,これまでと同様に,規格開発の推進を図っていく方針である.

  • ISO/IEC 11770-4 REV (Key management, Part 4: Mechanisms based on weak secrets)
  • ISO/IEC 20009-4 AMD 1(Anonymous entity authentication,Part 4: Mechanisms based on weak secrets)
  • ISO/IEC 29192-1 AMD 1(Lightweight cryptography,Part 1: General)

c) WG3関連

 ITセキュリティ評価及び認証制度(JISEC)はISO/IEC 15408/18045,暗号モジュール試験及び認証制度 (JCMVP)はISO/IEC 19790/24759に基づく制度であるため,それら日本の制度に影響が出ないよう改訂内容を注視する.
 

d) WG4関連

 ISO/IEC 27404 については,経済産業省が制定し,IPAが運用を開始した「IoT製品に対するセキュリティ適合性評価制度」との整合性に留意し,経済産業省及びIPAと連携をとり,SC27/WG4で丁寧に検討を進めている.


 ISO/IEC TS 5689 は,経済産業省のもとで策定した「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」の内容を日本から提案して開始したプロジェクトである.複数のフレームワークを想定するより一般的な内容を持つドラフトとなっており,CPSFの内容をフレームワーク及び事例に取り込むように議論を進めている.
 

e) WG5関連

日本国内でも27701を認証基準とする適合性評価活動が行われているため,認証機関を中心とした関係各位と引き続き連携していく.
 

5. その他

今後の国際会議開催予定
  •  2025-09-15/16 総会 (中国・昆明)