SC 27専門委員会(情報セキュリティ, サイバーセキュリティ及びプライバシー保護)
第1 種専門委員会
SC 27 専門委員会(情報セキュリティ, サイバーセキュリティ及びプライバシー保護/ Information security, cybersecurity and privacy protection)
<2021年度委員会活動報告>
委員長 近澤 武(三菱電機)
1. スコープ
SC 27では,これには,以下のようなセキュリティとプライバシーの両方の側面に対処するための一般的な方法,技術,ガイドライン等,情報とICTの保護のための標準の開発が行われている.
本標準化活動は,1981年に暗号の標準化審議から始まり,その後対象を年々広げ,現在以下5つのWGに分かれて標準化が行われている.SC 27/WG 1(情報セキュリティマネジメントシステム),SC 27/WG 2(暗号とセキュリティメカニズム),SC 27/WG 3(セキュリティの評価・試験・仕様),SC 27/WG 4 (セキュリティコントロールとサービス),SC 27/WG 5(アイデンティティ管理とプライバシー技術).
- セキュリティ要求事項の適切な獲得手法.
- 情報及びICTセキュリティの管理(特に情報セキュリティマネジメントシステム(ISMS),セキュリティプロセス,セキュリティ管理及びサービス).
- 暗号およびその他のセキュリティメカニズム(例:情報の説明責任,可用性,完全性,機密性を保護するためのメカニズム).
- セキュリティ管理を支援する文書(例:用語,ガイドライン,及びセキュリティコンポーネントの登録のための手順を含む).
- ID 管理,バイオメトリクス,プライバシーのセキュリティの側面
- 情報セキュリティマネジメントシステム分野における適合性評価,認定及び監査の要求事項
- セキュリティ評価基準及び方法論
本標準化活動は,1981年に暗号の標準化審議から始まり,その後対象を年々広げ,現在以下5つのWGに分かれて標準化が行われている.SC 27/WG 1(情報セキュリティマネジメントシステム),SC 27/WG 2(暗号とセキュリティメカニズム),SC 27/WG 3(セキュリティの評価・試験・仕様),SC 27/WG 4 (セキュリティコントロールとサービス),SC 27/WG 5(アイデンティティ管理とプライバシー技術).
2. 参加国
a) 参加国, 幹事国(セクレタリ),議長
積極的参加国(Participating Countries)の数は53カ国,オブザーバ国(Observing countries)の数は34カ国.幹事国(セクレタリ)はドイツ,議長はAndreas Wolf(ドイツ).b) 日本からの役職引き受け状況
- WG 2コンビーナ:吉田博隆(産業技術総合研究所),WG 2副コンビーナ:近澤武(IPA),WG 3副コンビーナ:甲斐成樹(IPA)
- 規格化作業中のエディタ/コエディタ20名(延べ人数)
3. トピックス
a) 開催された国際会議と日本からの参加状況(括弧内は参加人数.ただしWG間での重複あり.)
- 2021-10-25/28 WG会議(リモート):WG 1 (13), WG 2 (14), WG 3 (12), WG 4 (9), WG 5 (12)
- 2021-10-29 総会(リモート):(6)
- 2022-04-14/18 WG会議(リモート):WG 1 (10), WG 2 (13), WG 3 (8), WG 4 (9), WG 5 (7)
- 2022-04-11/12 総会(リモート):(5)
b) 規格化作業状況
この1年に出版されたIS (International Standard)は11件,Amd (Amendment)は3件,Cor (Corrigendum)は0件,TR (Technical Report)は0件,TS (Technical Specification)は2件出版された.進行中のプロジェクトについては,概ね順調に進捗している.
c) 日本からのコンビーナ・副コンビーナの任命/再任
WG 2コンビーナ:近澤,WG 2副コンビーナ:吉田は2022年4月で任期期限を迎えたため,コンビーナと副コンビーナを入れ替え,WG 2コンビーナ:吉田,WG 2副コンビーナ:近澤の新しい体制を日本から提案し、承認された.また,WG 3副コンビーナ:甲斐も2022年4月で任期期限を迎え,再任された.任期は3名共2024年12月まで.
4. 日本対応/方針
日本からのプロジェクト提案進捗状況
1) ISO/IEC 15946-5 (Cryptographic techniques based on elliptic curves - Part 5: Elliptic curve generation)
ISO/IEC 15946は日本が長年プロジェクトエディタとして規格化・改訂に貢献している.ISO/IEC 15946-5は,楕円曲線を利用した公開鍵暗号方式(ECC)のための楕円曲線を生成する方法の規格化である.規格中のペアリング用の楕円曲線に対して2016年に新しい攻撃が提案され,安全性レベルが低下していることが問題となって,規格改訂作業が2019年度から開始された.宮地充子(阪大/JAIST)がプロジェクトエディタを務め,新しい攻撃を考慮した安全性評価が行われたペアリング用の楕円曲線への更改が行われ、2022年2月に出版された.
2) ISO/IEC 4922 (Secure multiple computation)
多者間で各々の入力を秘密にしつつ協調して計算を行う技術である秘密計算の規格化である.2020年度から,2つのパート(パート1:総論,パート2:秘密分散に基づく秘密計算)に分割され規格化が進められている.2つのパートとも菊池亮(NTT)がプロジェクトエディタ(パート1はコエディタ)を務めており,パート1はDIS投票が終了,パート2はCDの状況にある.
3) ISO/IEC 20897-2 (Physically unclonable functions - Part 2: Test and evaluation methods)
国立研究開発法人新エネルギー・産業技術総合開発機構より委託事業を受け、「高効率・高速処理を可能とするAIチップ・次世代コンピューティングの技術開発事業/高度なIoT社会を実現する横断的技術開発/複製不可能デバイスを活用したIoTハードウェアセキュリティ基盤の研究開発」として、PUF(Physically Unclonable Function)と呼ばれる技術のセキュリティ要件、及びそのテスト手法に関する標準化を目指していた.2021年度までは,「PUF標準評価基盤検討委員会」を組織し,そこで国内の意見集約や他国への働きかけなど規格化の検討を行っていた.2022年度行われたFDIS投票で承認され,2022年5月に出版された.プロジェクトエディタは,PUF標準評価基盤検討委員会にも参加していた濱口 総志(コスモス・コーポレイション)が務めた.
4) ISO/IEC 27400 (Cybersecurity - IoT security and privacy - Guidelines)
経済産業省より事業委託を受け,「IoTセキュリティガイドラインの国際標準化」としてIPAの「つながる世界の開発指針」,IoT推進コンソーシアムの「IoTセキュリティガイドライン」の内容を国際標準化することを目指して,2018年にISO/IEC 27030として開始したプロジェクトである.IoTの参照アーキテクチャを記述したISO/IEC 30141:2018を基礎に,セキュリティ及びプライバシーのリスク源を挙げ、管理策を示す国際標準としてISO/IEC 27400を2022年6月に出版した.日本から中尾康二(NICT)がプロジェクトコエディタを務めた.
5) ISO/IEC 27556 (User-centric privacy preferences management framework)
ユーザが設定したプライバシプリファレンスに基づいて,Personal Identifiable Information (PII)を取り扱うフレームワークを規定したものである.日本提案により標準化作業が開始されており,プロジェクトエディタは清本晋作(KDDI総合研究所)が務めている.2022年内に規格が発行される予定である.
5. その他
今後の国際会議開催予定
- 2022-09-26/30 WG 5会議 ルクセンブルク
- 2022-10-03/11 WG会議(リモート)
- 2023-10-12/13 総会(リモート)
- 2023-04-17/21 WG会議 レドモンド(米)(ハイブリッド)
- 2023-04-24/25 総会 レドモンド(米)(ハイブリッド)