NTT技術ジャーナル記事

   

「NTT技術ジャーナル」編集部が注目した
最新トピックや特集インタビュー記事などをご覧いただけます。

グローバルスタンダード最前線

ITU-T SG17セキュリティ標準化動向

ITU-T(International Telecommunication Union Telecommunication Standardization Sector)SG(Study Group)17はセキュリティを取り扱うデジュール団体です。他にセキュリティを扱うデジュール団体としては、ISO(International Organization for Standardization)/IEC (International Electrotechnical Commission) JTC(Joint Technical Committee)1/SC (Subcommittee)27等があります。ここでは、ITU-T SG17の取り組みについて紹介し、JTC 1/SC 27と比較しながら、セキュリティ標準化の動向を概説します。

安田 幹(やすだ かん)
NTT社会情報研究所

ITU-T SG17(Security)

ITU-T(International Telecommunication Union Telecommunication Standardization Sector) SG(Study Group)17はセキュリティ全般を取り扱っています。各分野に特化したセキュリティの案件は他のSGでも取り扱っていますが、ITU-T全体のセキュリティ検討の取りまとめはSG17の活動です。またITU-T SG17ではセキュリティのための基盤技術としてディレクトリ・オブジェクト識別子・技術言語なども含めて扱ってきたという歴史があります。
ITU-T SG17の代表的な勧告にデジタル証明書の標準形式を定めたX.509があります。また構文記法ASN.1やオブジェクト識別子(OID)も有名です。
2023年7月現在、ITU-T SG17の中にWP(Working Party)が1から5まであり、またQ(Question)が12個あります。各QはいずれかのWPに属します。このWPやQの構成は動的です。まずQについては、議論の進展や技術の進歩によって追加されたりマージされたりします(飛び番になっているのはそのためです)。あるQの検討対象範囲が拡大されたりもします。あるいは定期タイミングでWPとQが再構成されることもあります。来年はその節目を迎えるということもあり、近いうちに大々的な整理が行われる可能性があります。現在のWPとQの構成は次のとおりです(図1)。

JTC1/SC27(Information security, cybersecurity and privacy protection)

次に、比較対象のJTC1/SC27について述べます。このデジュール団体もセキュリティ全般、特に情報セキュリティ・サイバーセキュリティ・プライバシ保護に関する方法・技術・ガイドライン等を取り扱っています。JTC1全体に影響するセキュリティに責任を持つという意味でITU-T SG17とよく似た役割を担っていますが、ディレクトリや技術言語などの基盤技術の規格化は扱っていません(利用はしています)。
JTC1/SC27の中にWG(Working Group)が1から5まであり、それぞれ異なるテーマを担当しています。その概要は次のとおりです(図2)。
JTC1/SC27のWGは、これまで増設されたり名称が変更されたりしてきましたが、基本的には静的で、それぞれの取り扱う範囲が大きく変わったことはありません。

両団体の比較

ITU-T SG17とJTC1/SC27それぞれの組織構成に対応して、日本の国内委員会も体制が異なっています。まず一方のITU-T SG17に対応する国内の委員会では、すべての案件について技術検討を行います。国際の各WPに対応するような小委員会は設けていません(むろん国内の委員会内での担当の割振りはあります)。他方、JTC1/SC27に対応する国内の委員会がありますが、こちらでは技術的な検討は行いません。技術検討は一次的に国内小委員会が行います。国内小委員会は国際の各WGに対応して1から5まであります。前述した国際における動的・静的な組織構成の違いを踏まえると、日本国内における対応は理に適っていると評価できます。
技術分野については、ITU-T SG17とJTC1/SC27とで共通する案件が多いのは当然ですが、しかし互いに補完するようなものも少なくありません。例えば公開鍵暗号技術については、公開鍵基盤(PKI)の標準形式や検証アルゴリズムを定めているのはITU-T SG17のほうですが、そこで使われる暗号アルゴリズムや電子署名方式を定めているのはJTC1/SC27のほうです。どちらも公開鍵暗号技術の利用には不可欠のものです。むろん、セキュリティマネジメントやネットワークセキュリティに関するガイドラインやフレームワークについては深く関連する案件が多く、ITU-T SG17とJTC1/SC27との間で双方向にリエゾンを擁立して、密に連携しながらそれぞれ標準化を推進しています。

セキュリティ標準化の動向

ITU-T SG17のQのうち番号が大きいものは比較的新しい技術です。例えばQ14の分散台帳技術やQ15の量子鍵配送などです。分散台帳技術については、一時的な団体ITU-T FG DLT(Focus Group on Application of Distributed Ledger Technology)が2017年から2019年まで活動していました。そこで出された勧告は現在では各SGに引き継がれています。他方、 JTC1/SC27の方でもDLTについてしばらく検討がされたのち、2016年に永続的な団体ISO/TC(Technical Committee)307(Blockchain and distributed ledger technologies)が発足し、現在はこちらでまとめて分散台帳技術に関する規格化を推進しています。また量子情報技術についても状況は似ており、一時的な団体ITU-T FG-QIT4N(Focus Group on Quantum Information Technology for Networks)が2019年から2021年まで活動していました。現在では各SGがそれぞれ自身のテーマに関連する量子情報技術の勧告を引き継いでいます。JTC1/SC27のほうでは、量子鍵配送に限っていえばWG3で規格化が進んでおり、実装セキュリティの要件や評価方法を定めたISO/IEC 23837シリーズが間もなく出版される見込みです。ただし量子鍵配送のほかにも、量子情報技術は広範な領域に及ぶため、全体を取り扱うには(分散台帳技術をまとめて取り扱うTC 307のように)別に体制が必要だという意見もあり、将来は新しい永続的な組織がISO/IEC内に発足する可能性があります。
分散台帳技術や量子情報技術の他に新しい技術としてAI(人工知能)があります。このAIのセキュリティについてもさまざまな面から検討がされていますが、標準化には少し時間が掛かりそうです。AIセキュリティがどのような体制で整理されて標準化が進むのかは、まだはっきりとは見えてきていません。
最後に、耐量子計算機暗号技術について述べます。ご存じのとおり、もし汎用的なゲート型量子計算機が実現されると、既存の多くの暗号アルゴリズム、特に多くの公開鍵暗号アルゴリズムが安全でなくなってしまうと考えられています。そこで、もしも量子計算機が実現されたとしても安全に使えるような暗号アルゴリズム、すなわち耐量子計算機暗号技術を標準化しようという動きが活発に進んでいます。技術分類的には、耐量子計算機暗号技術は量子情報技術ではなく古典的な「電子」情報技術です。つまり既存の電子計算機の上で実行・利用することができます。耐量子計算機暗号技術の標準化は米国標準技術研究所NIST(National Institute of Standards and Technology)によるコンペが有名です。このコンペが一段落し、暗号アルゴリズムの選定も進んだことを受け、JTC1/SC7のWG2においても耐量子計算機暗号関連の策定が加速しています。ここでは新たな規格をつくるのではなく、少なくとも最初は、既存の規格に追記したり、新たなパートを設けたりして標準化に着手する予定です。自然な流れとして、その後ITU-T SG17が取り扱う公開鍵暗号技術の勧告群にも波及してくると考えられます。