各国政府の暗号政策動向 -...

各国政府の暗号政策動向

IPA 技術本部セキュリティセンター NTTセキュアプラットフォーム研究所

神田雅透

20150620 MELT UPフォーラム資料 1

暗号技術は単なる産業技術ではない


国家戦略上の情報保護技術国家安全保障政策とリンクした情報保護や重要インフラ保護の

ための技術

社会に必須なインフラ技術電子商取引などの経済活動促進に

寄与するための技術

どのようなバランスを取るかは「暗号政策」そのもの

マーケットドリブン型

関連製品・システム間で相互接続できることが必須少数のデファクト標準に集約

特定の業界団体標準に集約

公共財

トップダウン型

自らの政策に基づき政府調達方法に制限政府標準暗号の制定

認証製品の調達義務化

戦略物資

調査の目的我が国の暗号政策に係る中長期の視野に立った方針を検討するために、幅広く現況を俯瞰するための暗号利用環境に関する動向を調査


各国政府における暗号利用に関する政策動向調査過去にIPA及び経済産業省が実施した類似調査の

アップデート・最新化、並びに政策変更点の分析

海外政策動向調査

認証取得製品動向調査

国内暗号製品市場動向調査

セキュリティ認証取得製品に関する動向調査認証取得製品数の経年推移についての資料整理

及び分析

国内暗号製品市場に係る動向調査暗号ライブラリ、暗号製品、セキュリティ製品の各市場

規模の経年推移についての調査及び分析

公開準備中

調査の視点体制面

• 暗号に関わるセキュリティ政策に関する組織体制・役割 • 暗号に関わるセキュリティ政策の遂行に関連する法制度

制度面 • 利用すべき暗号方式の指定の有無 • セキュリティ認証制度の有無 • 政府の調達要件に関連する事項 • 暗号に関連する輸出入規制ならびに利用規制の有無

その他 • 国としての標準化活動 • 国としての人材育成・研究開発


調査対象国調査対象国名・組織文献・Web調査ヒアリング調査

米国 ○ 政府機関大学

英国 ○ 政府機関大学

フランス ○ 政府機関大学

ドイツ ○ 政府機関

エストニア ○ 政府機関研究機関

ロシア ○ －中国 ○ －韓国 ○ －

オーストラリア ○ 政府機関 EU ○ 大学

5 20150620 MELT UPフォーラム資料

組織体系について

6

今回の調査対象国はいずれも「セキュリティ政策」を決める組織、「政策実行」する実務組織とも

法的根拠をもつか、大統領／首相直轄組織

権限が明確

ところで日本は？

出典：NISC 「我が国のサイバーセキュリティ戦略」

20150620 MELT UPフォーラム資料

組織体系についてでは、「暗号政策」の視点では？

7

ほとんどの国では「暗号に関する政策」が明確

「暗号に関する実務作業」が明確

米国はOMB（行政管理予算局）、ドイツは財務省が政策関与

実務段階には予算的な視点がすでに入っている

暗号政策では、「暗号アルゴリズム」などの技術の話ではなく、「製品調達方法」といった具体的な話がメイン

さて、日本では？（今日は深追いしませんが・・・）


制度面の考え方「情報保全（Information Assurance）」の考え方

8

Wikiの英語版

出典： Information Assurance versus Information Security, NoVAC infosec

英国のIA 米国のIA (SP800-37)

出典：http://www.seguetech.com/blog/2013/09/24/risk-management-framework-future-dod-information-assurance


制度面のまとめ ― 暗号方式

9

暗号方式を規定暗号方式の例示米国安全保障用途：

NSAが規定（詳細不明）安全保障用途外： NISTがFIPS及びSPとして規定

なし

英国法的拘束力のあるHMG IA Standardsの一部を構成するHMG Cryptographic Standardsの中で、CESGが規定（開示制限のため詳細不明）

なし

フランス安全保障用途は別途規定がある可能性あり（安全保障用途のagrément認証が別途存在）

ANSSI（前身DCSSI）による、暗号強度に関する選択ルールの明確化と推奨暗号の例示

ドイツ電子政府システムの実質的な強制標準SAGAの中で、BfITが電子政府システムでの暗号アルゴリズムの要件を規定

一般システム開発者向けのガイドラインとして、BSIによる推奨暗号の例示

エストニアなし RIAとCybernetica ASがレポートや論文を総括

ロシア連邦技術規制・計測庁がGOST標準暗号を規定

なし


制度面のまとめ ― 暗号方式

10

暗号方式を規定暗号方式の例示中国国家暗号管理局が標準としての商用暗号を

規定商用暗号管理条例では「国家機密とされる商用暗号技術(第二条)」との記載もあるため、それ以外の商用暗号がある可能性が否定できない

なし

韓国韓国版CMVP認可暗号アルゴリズムを規定。国家サイバー安全管理規定に基づきNISが策定している国家サイバー安全マニュアルにも政府機関が使用すべき暗号機器等に関する記載がある（詳細は非公開）

一般システム開発者向けのガイドラインとして、KISAによる暗号アルゴリズムと鍵長の選定に関するクライテリア・事例を紹介

オーストラリア

ASD Cryptographic Evaluationでの認証対象としてASD認可暗号アルゴリズムを規定

なし

EU なし暗号アルゴリズム、鍵長、パラメータに関する推奨について、EU加盟国が個人情報、機微情報の保護において対処すべき暗号に関する最小限の要件を取りまとめたもの


制度面のまとめ ― 認証制度

11

国(所管省庁) 政府調達要件評価認証米国

(NSA/NIST) 情報技術管理改革法, FISMA, CNSSP 11

• CMVP：NISTが運営 • CC：NIAP (NIST+NSA)が運営

連邦政府機関システムについてCMVP, CC認証製品の導入を義務づけ

英国 (CESG)

HMG Security Policy Framework, HMG IA Standards

CESGが運営。CAPS, CPAは英国独自の認証制度 • CAPS：上位2段階保証グレート認証制度。GOTS製品が対象

• CPA：最も低い保証グレード認証制度。COTS製品が対象

• CC：CPAより低位に位置づけ

情報保証に関する法的拘束力のあるポリシー。少なくともハイグレードの情報システムではCAPS認証が必須

フランス (ANSSI)

Ordonnance n°2005-1516 du 8 décembre 2005, Référentiel Général de Sécurité (RGS)

ANSSIが運営。CC以外はフランス独自の認証制度 • CC • CSPN: CCより低コストの認証制度

• SSCD: 暗号モジュール認証制度

• Agrément: 国家安全保障に関する情報保護が対象

政府システムにおける情報セキュリティの義務的要件。特に、RGSに基づき、システムに応じて製品認証を義務づけ



12

国(所管省庁) 政府調達要件評価認証ドイツ (BSI)

SAGA, IT-Steuerung Bund • CC: BSIが運営 • CMVPに相当する認証制度はない

実質的な電子政府システム調達要件。認証製品の導入が義務になっているかどうかは不明

エストニア (RIA)

ISKE (IT Security Standard) • 制度なし。CCを準備中政府システムにおける情報セキュリティの義務的要件。ドイツの「IT Baseline Protection Manual」がベース

ロシア (FSB)

184-FZ "On Technical Regulation" FSBが運営。どちらもロシア独自の認証制度 • POCC RU.0001.030001:

CMVPに類似する制度 • POCC RU.0003.01БИ00:

CCに類似する制度

FSBによるライセンスを取得した組織が設計・開発した暗号化ツールで、認証取得済みのものを用いることが必要

中国 (国家暗号管理局)

政府調達法 ISCCCが運営。中国独自の認証制度 • 中国情報セキュリティ認証制度:

CCに類似する制度

政府調達において認証取得を義務付け



13

国(所管省庁) 政府調達要件評価認証韓国

(NIS/KISA) 電子文書保安措置施行指針国家サイバー安全管理規定

• CC (KECS): ITSCCが運営。CCRAの対象

• 韓国版CMVP: NISが運営。韓国独自の認証制度

• 国家機関用暗号モジュール(認可暗号アルゴリズム非公開)の認証制度

政府向けにはKECS認証取得が必要で、暗号モジュール搭載時は国家機関用暗号モジュール認証も必要。対国民行政業務用システムでは韓国版CMVP認証取得が必要

オーストラリア

(ASD)

Protective Security Policy Framework (PSPF) 2013

• AISEP: ASDがニュージーランドのGCSBと共同運営する両国政府共同認証制度。CCに準拠した制度になっているが、独自の追加要件を含む

• ASD Cryptographic Evaluation: 暗号製品のみを対象とする独自の両国政府共同認証制度

機密情報を扱う政府システムではAISEP認証取得が義務的要件。一般政府システムでは条件に合致したレベルのCC認証で代用可能。機密情報以上を扱う政府システムの場合、ASD Cryptographic Evaluation認証取得が必須

EU (ENISA)

EUでは規定せず、各国政府がEU、ENISA等の情報を参考に独自に決める

Approved Cryptographic Products: 欧州連合機密区分に対応した認証暗号製品


参考までに、日本では？


暗号方式を規定暗号方式の例示日本総務省・経済産業省がCRYPTREC暗号リス

ト（電子政府推奨暗号リスト・推奨候補暗号リスト・運用監視暗号リスト）を策定 JCMVPでの認証対象は、原則、電子政府推奨暗号リストに掲載されたもの

なし

国(所管省庁) 政府調達要件評価認証日本

(NISC) 政府機関の情報セキュリティ対策のための統一基準（平成26年度版）、府省庁対策基準策定のためのガイドライン

IPAが運営 • CC (JISEC)：CCRAの対象 • JCMVP：日本独自の暗号モジュール認証制度だが、CMVPと共同認証を適用（※相互認証ではないことに注意）

原則「電子政府推奨暗号」を使用 JCMVP認証、CC認証取得は調達時の基本対策事項措置の一つの例示

ここからわかること

15

セキュリティ認証対象

セキュリティ認証対象

暗号技術暗号技術

セキュリティ認証対象としての認可暗号技術

暗号技術の指定セキュリティ認証制度の運営

認証取得製品の調達義務化情報保証の実現


しかも、製品調達基準に認証レベルの違いがある

国防・安全保障に係るシステム

最高機密レベルに係るシステム

機密レベルに係るシステム

保護レベルに係るシステム

一般的なシステム

国防・安全保障対象の製品認証

政府特注品(GOTS)対象の製品認証

市販品(COTS)対象の製品認証

国際標準(CC)の製品認証

秘匿された認可暗号

明示された認可暗号

暗号は認証対象外

GOTS: government off the shelf , COTS: commercial off the shelf

このスキームが利用する暗号を強制指定

16

米国英国

フランス韓国

ロシアオーストラリア


調査の目的我が国の暗号政策に係る中長期の視野に立った方針を検討するために、幅広く現況を俯瞰するための暗号利用環境に関する動向を調査


各国政府における暗号利用に関する政策動向調査過去にIPA及び経済産業省が実施した類似調査の

アップデート・最新化、並びに政策変更点の分析

海外政策動向調査

認証取得製品動向調査

国内暗号製品市場動向調査

セキュリティ認証取得製品に関する動向調査認証取得製品数の経年推移についての資料整理

及び分析

国内暗号製品市場に係る動向調査暗号ライブラリ、暗号製品、セキュリティ製品の各市場

規模の経年推移についての調査及び分析

公開準備中

CMVP／JCMVP認証取得数の比較

1 2 2 9 12 11 1530 40 40 42 34

75 8351

9464 68

9963

1 6 1019 18

3838 33

60 47 56

50

91

81

92

92 95

82

60

713 12

1613 17

2228 25

30

19

34

42

2637

27

21

0 0 01

1 5

11

0

0 2 1

0

2

1

1

30

0

0

0

50

100

150

200

250

Level4

Level3

Level2

Level1

（件）

1 38 27

45 46

7082

90

122 119 116

155

195

167

229

185200

208

144

4

2

3

1

0

4

1

0

1

0

2

0

1

2

3

4

5

2007年 2008年 2009年 2010年 2011年 2012年 2013年

レベル3

レベル2

レベル1

4

2

1

2

4 4

（件）

3

CMVP認証取得数の経年推移

JCMVP認証取得数の経年推移

制度開始5年目

注）2014年の数値は、2014年7月11日までの取得数

制度開始から着実に増加

年200件前後の認証数

レベル別の認証取得割合

CMVP JCMVP

制度開始から横ばい


46

3426 25

2014 16 16 15 14 11 10 13 10

6 6 6 5 5 3 3 3 2 20

20

40

60（件）

3 23 3 36 7

1932

23 25 228 14

1933

192

3 1

7

811 13 13

86 2

1

1 1

5 9

4

1520 17 14

1313 17

12

3

1

1

1

1

1

1 1

15

0

10

20

30

40

50

60

70

EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 PP適合

（件）

3 3 4 4

17 19

31

57 55 55 51

2934

3946

37

310

4415 15 8 7 5 4 3 3 2 2 2

050

100150200250300350（件）

1 18 10 10

1 2 2 2 11 59

1619 18

4 5 2 32 2

812

19

27 27

32 32

49

35 34

2

31

6 4

4

1

41

0

10

20

30

40

50

60

70


（件）

0 0 0 0 2

（件）

5

17

23

43

6259

41

34

57

40 42

CC取得製品の経年推移と製品種別日本（総数：425）米国（総数：484）

複合機が73% 色々な製品群に分布


239

143

28 16 5 3 20

50

100

150

200

250（件） 186

7656 50

3824 19 18 15 15 12 7 4 2

0

50

100

150

200（件）

2 1 2 2 3 1 1 13 2 3 46

4 1 1 314

17 8 9 66

72 5 2 11

67

9 22 22 3032 35

22

33 3621

3

63

8

16 8 6

2011

16

226

14

42

0

10

20

30

40

50

60

70

80


（件）

1 1 03

14 17

36

5045 44

67

57

41

62

5041

4 612

21 3 3 4 22 3 2 8 5 1

1 72

8 717 15 19 16 16

25 2122

34

214 8 4 7

2119 16

28

30

5

23

1

0

10

20

30

40

50

60

70

80


（件）

05

13 14 117

20 2328

2227

55

44 46

73

54

CC取得製品の経年推移と製品種別

フランス企業の強い分野に集中

フランス（総数：442）ドイツ（総数：529） EAL4以上の認証数が非常に多い

ドイツ企業の強い分野が中心


1513

10

64 4 3 2 2 2 1 1 1 1 1 1

0

10

20（件）

1

52 2

8

41

7

8 9

5

2

2

31

2

1

1 4

0

5

10

15


（件）

0 0 0 0

（件）

10

12

0 00 0

11

5

12

7

56

1614 14

11 11 10 10

1 10

10

20

30（件）

1 12

14

1 2 2 1

52

41

1 3 2

2 11

2

11 2

3 4

79 3

62 3

1

3

1

1

1

1

0

5

10

15


（件）

34 4

34

1011

7 7 76

3

10

3

5

12

CC取得製品の経年推移と製品種別英国（総数：89）韓国（総数：68）


CAPS, CPAのほうが上位認証だから少ない？

国別CC取得総製品数


※2014/8/7時点

実際には各国調達の追加要件・認証が

求められることがある

新CCRAへ cPP

その他の特徴的な戦略

23

【米国の標準化活動】 OMB Circular No. A-119により

連邦政府機関は積極的に民間標準化活動を奨励 NISTはANSIやIETFなどの標準化団体でのグループチェアとして関与

【研究開発体制】調査対象国のほとんどで大学・公的機関が暗号研究開発の中心を担う ※低レイヤの暗号開発から（特に大手）企業は撤退・縮小

米国：NIST, NSA, 国防関連R&Dプログラム（IR&DP, IARPA, DARPA）英国：Royal Holloway, University of Bristol フランス：CASCADE （CNRS, ENS, INRIAなど）ドイツ：Fraunhofer研究所エストニア：タリン工科大学、タルトゥ大学ロシア：暗号・通信・情報学研究所中国：国家暗号管理局が研究ユニットを指定韓国：KISA, NSRI, ETRI 豪州：Queensland University of Technology, Macquarie University


新サイバーセキュリティ戦略に触れないわけには


「情報セキュリティ研究開発戦略」における記述


2011年

2014年

参考


米国－組織体制

NIST NSA

国防総省商務省

GSA（一般調達局）

OMB

協力

政府調達国家安全保障

大統領

輸出規制

DHSCNSS

国務省

• 国家安全保障に係るような機密情報に関する情報セキュリティについてのポリシーを策定

• 関係各省庁の代表者から構成 • 議長は国防総省、事務局はNSA

OMB：Office of Management and Budget DHS：Department of Homeland Security NSA：National Security Agency GSA：General Service Administration NIST：National Institute of Standards and Technology CNSS：Committee on National Security Systems

• FISMA2002、情報技術管理再生法に基づき、情報セキュリティについて政府機関のための標準・ガイドラインを策定

• OMBからも活動の方向性を示され、予算に関してNISTとOMBの直接の関係がある

• 全ての連邦政府機関に適用される覚書（メモランダム）を発行

• 連邦政府機関の機微情報に関する情報セキュリティ確保に関しては、OMBの責任

• NISTが策定する標準はOMBメモランダムを実装するために必要


英国－組織体制 • 首相および国家安全保障委員会によるサイバーセキュリティ政策の優先付けを支援し、サイバーセキュリティ戦略的方向付けを実施

• 政府のサイバーセキュリティ政策の総合調整を実施 • 基本戦略The national security strategyを担当

• 情報セキュリティに関する執行組織であり、情報保証に関する国家の技術的な規制機関(National Technical Authority)

• 暗号要件策定、製品認証を行うと共に、輸出規制、安全保障等を所管する他省庁に対して技術的助言を実施

OCSIA：Office of Cyber Security & Information Assurance NSC：National Security Council CPNI：Centre for Protection of National Infrastructure GCHQ：Government Communications Headquarters（政府通信本部） CESG： Communications-Electronics Security Group（通信電子セキュリティグループ）


フランス－組織体制

• 2009年に設置。前身のDCSSIを代替し、より広い役割を担う（現在390人が勤務）

• 設置法Décret n°2009-834 du 7 juillet 2009により、情報システムセキュリティに関する規制機関であることが定められ、国防の関する情報システム機能の監督権限を持つ

• 情報システムセキュリティに関する課題へのフランスの対応能力を高めることを目的し、サイバーセキュリティ（CRRTA; 仏CSIRT）、暗号に係わる規制、CC認証、製品のセキュリティ評価認証制度CSPNなどを実施

SGDSN：国防安全保障事務局 ANSSI：国立情報システムセキュリティー庁 Comité stratégique de la SSI：情報システムセキュリティ戦略委員会 DGCIS：生産再建省競争・産業・サービス総局 SAE：経済・財政・産業省国家調達局 INRIA：フランス国立情報学自動制御研究所 CNRS：フランス国立科学研究センター ENS：高等師範学校 CTG：政府伝送センター

• フランスの情報システムセキュリティに係わる国家戦略を決定する委員会


ドイツ－組織体制

BMI：連邦内務省 BSI：連邦情報セキュリティ局 BfIT：連邦情報技術長官 BFI：財務省 BMWi：ドイツ連邦経済・技術省 BNetzA：連邦ネットワーク庁 IT-SB：連邦ITステアリンググループ IT-Rat：州政府IT担当者協議会

• 2007年の閣議決定IT-Steuerung Bundに基づき設置 • 州政府IT担当者協議会の代表 • スーパバイザ―として、ITセキュリティ戦略の策定や政府のITセキュリティ管理、アーキテクチャ・基準や手法の開発等のIT関連の課題の方針を決定

• 2007年の閣議決定IT-Steuerung Bundに基づき設置

• 連邦政府のIT関連政策と予算の連携を強化することを目的とする

• 現在はBMI、BFI、BMWiの権限下にある

• 2007年の閣議決定IT-Steuerung Bundに基づき設置

• 各州政府のIT担当者による協議会 • 州政府の調達等について権限を持つ

• ドイツにおける暗号政策を主管する部署 • 2009年のAct to Strengthen the Security of Federal

Information Technologyに基づき、情報技術のセキュリティ促進のために設立

• 情報技術の防護、ITセキュリティリスクの情報収集・分析、ITセキュリティ研究、暗号アルゴリズムの研究等を行う


エストニア－組織体制

政府調達国家安全保障輸出規制

RIA

経済通信省

首相

防衛省外務省

戦略物資委員会

武器

デュアルユース

RIA： Estonian Information System Authority （エストニア情報システム局）

• 非機密レベルの文民系政府情報システムを所管し、その調達や運用、インシデント対応やPKIの機能調整等を実施

• 政府省庁のための意識啓発プログラムや情報セキュリティプログラム等を提供

• Riigi Infosüsteemi Ameti põhimäärus Vastu võetud 25.04.2011 nr 28に基づき、政府情報システム管理を行う (1) サイバーセキュリティ

CIIP（重要インフラ防護・セプターカウンシルに相当)、CERT-EEを運営

(2) GPKI GPKI運営、IDカードにおける基本的なソフトウェア開発等も担当

• Majandus- ja Kommunikatsiooniministeeriumi põhimäärus Vastu võetud 23.10.2002 nr 323に基づき、 ITシステムの管理（政府調達を含む）をRIAとともに主管

• サイバーセキュリティ戦略は、防衛省が主管となり、経済通信省、総務省、外務省、法務省、文部省、国防軍、RIA、CERT-EE、民間の専門家等から構成される委員会にて承認

• 国家安全保障・防衛系の情報システム（例えばNational Security Agency、Information board等）を所管


大統領

通信省政府調達

輸出規制

貿易産業省

安全保障

FSB

連邦技術規則・計量庁

国防省

FSTEC

首相

ロシア－組織体制 • 40-FZ “On the Federal Security Service”に基づき、暗号政策に関する広範・包括的な権限を有する情報セキュリティ政策の立案と実装（暗号技術を含む）暗号化サービスの提供、暗号化ツールの開発・製造・提供・配布に関するライセンスの発行（輸

出入のライセンスも含む）暗号化ツールの認証

• 傘下に暗号・通信•情報学研究所を設置

• 技術標準GOSTを発行するとともに認証制度（主に輸入に関する認証）を運営

FSB：Federal Security Bureau（ロシア連邦保安庁） ※旧：KGB FSTEC：Federal Service for Technical and Export Control of Russia • 安全保障の観点から技術・サービスの輸出管理

を行う • 単なる輸出管理にとどまらず、情報セキュリティの確保、技術情報に関する防諜、機密情報の保護、技術データの漏洩防止などを担当

• ただし、暗号技術については所掌分野から除外 33 20150620 MELT UPフォーラム資料

中国－組織体制国家暗号管理局：国家密码管理局もしくは中央密码工作领导小组办公室（中央暗号工作指導小組弁公室）（1組織に二通りの名称がつけられている）

共産党中央委員会

国務院

国家暗号管理局

研究開発・人材育成

中国暗号学会

国家安全部

政府調達

輸出入規制

人民解放軍

安全保障

工業情報化部

電子署名

• 商用暗号管理条例（中華人民共和国国務院第273 号令）に基づき共産党中央委員会の下に設置

• 商用暗号に関するポリシーの策定等を行なう • 国家暗号管理局の主な役割は以下の通りである。商用暗号の研究、生産、販売、使用の管理上記の目的のため許可証を発行

• 国務院に所属する諜報機関 • 暗号政策に関する直接的な言及はないが、人事面で国家暗号管理局との交流があるとの情報がある

• 国家暗号管理局の下に設置された学会


韓国－組織体制 NIS：国家情報院 MoSPA：安全行政部（旧）行政安全部産業通商資源部：（旧）知識経済部 KCC：放送通信委員会 KISA：韓国インターネット振興院 KIISC：Korea Institute of Information Security and Cryptology ETRI：電子通信硏究院 GCMA：Government Certificate Management Authority NCIA：National Computing and Information Agency

大統領

NIS

研究開発・人材育成

MoSPA政府調達

輸出入規制

産業通商資源部

安全保障

KCC

電子署名

KISA

GCMA

KIISC

CMVP

ETRI

NSRI

NCIA

CC

• 韓国中央情報部（KCIA）が改組 • 電子政府法施行令及び電子文書保安措置施行指針に基づき、行政機関における電子文書の保管や流通に当たっての保安機能や適合性についての規格を定める権限を有する

• 暗号関係の業務は以下のものがある情報セキュリティ製品認証（KECS）暗号モジュール認証（KCMVP）

• 2009年にKISA（韓国情報保護振興院）、IDA（韓国インターネット振興院）、KIICA（情報通信国際協力振興院）が合併して発足

• 暗号関係の業務は以下のものがある KECS・KCMVPにおける評価機関暗号技術の開発及び利用基盤拡大国産暗号（SEED, HIGHT, ARIA）基盤拡大暗号ガイドラインの作成と普及 Root CAの運用管理


オーストラリア－組織体制

• Intelligence Services Act 2001に基づき、機能を以下のように規定連邦政府、州政府のセキュリティや情報の完

全性について助言、支援を行う連邦政府、州政府の暗号、コンピュータ、通

信技術に関する支援を行う • 暗号要件を含む政府システム要件ISM、製品認証制度AISEP、政府セキュリティフレームワークPSPFを所管

NSC：National Security Committee of Cabinet（内閣国家安全保障委員会） ASD：Australian Signals Directorate (旧：defense Signals Directorate (DSD))（オーストラリア信号局） DECO：Defense Export Control Office（防衛輸出規制室） ACBPS：Australian Customs and Border Protection Service（オーストラリア関税国境防衛サービス） SIDCDE：Standing Interdepartmental Committee on Defense Exports（防衛輸出省庁横断常設委員会） SECSG：Strengthened Export Controls Steering Group（強化輸出規制推進グループ） AGIMO：Australian Government Information Management Office（オーストラリア政府情報管理室） ASIO：Australia‘s national security intelligence service（オーストラリア国家安全諜報サービス） PJCIS: Parliamentary Joint Committee on Intelligence and Security（国会諜報セキュリティ統合委員会） DSTO：Defense Science and Technology Organization（防衛科学技術局） 36 20150620 MELT UPフォーラム資料

EU －組織体制 • ENISA設置法（Regulation (EC) No 460/2004

EU）に基づき、EUおよびその加盟国に対してネットワーク情報セキュリティに関する問題への対処を支援するために設立された機関

• EUのネットワーク情報セキュリティに関する法制度を整備する際の技術的な支援を行う

• 年間予算は、€ 9,086,354（約12.7億円）

NATO：North Atlantic Treaty Organization（北大西洋条約機構） DG Trade：Directorate General Trade（貿易総局） DG CONNECT：Directorate General for Communications Networks, Content & Technology（通信ネットワーク、コンテンツ＆技術総局） ENISA：European Union Agency for Network and Information Security（欧州連合ネットワーク情報セキュリティ庁） ERC：European Research Council（欧州研究会議） ETSI：European Telecommunications Standards Institute（欧州電気通信標準化機構）

• 欧州連合条約により設立されたヨーロッパの地域統合体である欧州連合の政策執行機関

• 政策分野ごとに総局（Directorate General: DG）が設置 DG CONNECTがICT分野を所管する総局

• 安全保障の暗号政策に関しては各国にゆだねられており、政府調達等の欧州共通のガイダンスに重点


各国政府の暗号政策動向暗号技術は単なる産業技術ではない調査の目的調査の視点調査対象国組織体系について組織体系について制度面の考え方制度面のまとめ ―　暗号方式制度面のまとめ ―　暗号方式制度面のまとめ ― 認証制度制度面のまとめ ― 認証制度制度面のまとめ ― 認証制度参考までに、日本では？ここからわかることこのスキームが利用する暗号を強制指定調査の目的CMVP／JCMVP認証取得数の比較CC取得製品の経年推移と製品種別CC取得製品の経年推移と製品種別CC取得製品の経年推移と製品種別国別CC取得総製品数その他の特徴的な戦略新サイバーセキュリティ戦略に触れないわけには新サイバーセキュリティ戦略に触れないわけには「情報セキュリティ研究開発戦略」における記述スライド番号 27米国　－　組織体制英国　－　組織体制フランス　－　組織体制ドイツ　－　組織体制エストニア　－　組織体制ロシア　－　組織体制中国　－　組織体制韓国　－　組織体制オーストラリア　－　組織体制EU　－　組織体制

各国政府の暗号政策動向 -...

Documents