適切な暗号方式の選択について

適切な暗号化とは

データの転送や保管において暗号化は、セキュリティ対策において重要な対応となります。ただ適切な暗号方式を選択しなければ、必要な暗号強度を保てないことになります。

では、適切な暗号化とはどういった暗号化なのでしょうか。

適切な「暗号化アルゴリズム」と「鍵長」の２つで考える必要がある

「暗号化アルゴリズム」とは、暗号化を行う場合の「手順」や「規則」となります。このアルゴリズムに脆弱性（欠陥）があると暗号化されたデータから元のデータが復元されてしまったり、総当たり方式で解読する場合に計算量が少なく済む可能性があることから適切な「暗号化アルゴリズム」を選択する必要があります。

一方で「鍵長」は長ければ長いほど暗号の強度が上がりますが、通常の暗号化、復号化を行う場合に計算量が増えてしまいます。大量のデータ処理を高速で処理する必要がある場合には、「鍵長」が長いと処理負荷が非常に大きくなります。一方で、短い場合には暗号強度が低くなることから適切な「鍵長」を選択する必要があります。

また、暗号化方式については常に最新の状況を確認する必要があります。「暗号化アルゴリズム」に脆弱性が見つかる場合があり、脆弱性が見つかった場合には暗号化アルゴリズムの切替えを検討する必要があります。
一方で、コンピュータ性能は常に向上していることから過去に安全であった「鍵長」であっても計算能力の向上によって総当たり的な計算量で力技で復号化される可能性があります。

暗号化アリゴリズムの選択

デジタル庁、総務省、経済産業省等がCRYPTREC （Cryptography Research and Evaluation Committees）と呼ばれるプロジェクトを行なっており、このプロジェクトでは電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討しています。

CRYPTREC | トップページ

ここが「電子政府における調達のために参照すべき暗号のリスト（CRYPTREC暗号リスト）」を公開しています。このリストには大きく３つに分かれており、「1.電子政府推奨暗号化リスト」、「2.推奨暗号化リスト」および「3.運用監視リスト」に分かれています。
簡単に言えば、１は現時点で使っても良い暗号アルゴリズム、２は将来的には１に含まれる可能性がある暗号アルゴリズム、３は安全性に懸念があり使うべきではない暗号アルゴリズムとなります。「政府機関等のサイバーセキュリティ対策のための統一基準」では、原則として「電子政府推奨暗号リスト」から選択するルールなっています。

https://www.cryptrec.go.jp/list/cryptrec-ls-0001-2022.pdf

鍵長の選択

原則として、鍵帳は長ければ長いほど安全である一方で処理負荷が大きくなります。そのため、処理負荷等を検討し適切な鍵帳を選択する必要があります。適切な鍵長を選択する場合に参考となるのが、「暗号強度要件（アルゴリズム及び鍵長選択）に関する設定基準」です。
当該資料に基づき、該当システムの稼働年数等を検討して適切な鍵長を選択する必要があります。

https://www.cryptrec.go.jp/list/cryptrec-ls-0003-2022r1.pdf

SSL/TLSの選択

クレジットカード情報を取り扱うシステムに対する認証規格である「PCIDSS」では使用することを許可するSSL/TLSのバージョンが定められており、参考となる。