最終更新日:2026年5月20日
sg sg-security-measures
まず結論
- CRYPTRECは、安全な暗号技術を評価・推奨する日本のプロジェクトである。
- SG試験では「暗号の評価」か「インシデント対応(JPCERT/CC)」かを見分ける問題が多い。
直感的な説明
会社でシステムを作るとき、
- どの暗号を使えば安全か?
- 古い暗号は危険じゃないか?
と迷いますよね。
CRYPTRECは、
「この暗号は安全に使えるよ」とお墨付きを出す専門チームです。
👉 イメージ
- CRYPTREC:暗号の品質チェック担当
- JPCERT/CC:事故対応担当
定義・仕組み
公式: CRYPTREC 暗号リスト(電子政府推奨暗号):公式: CRYPTREC 暗号リスト(電子政府推奨暗号) CRYPTREC(Cryptography Research and Evaluation Committees)は、
- 電子政府などで利用する暗号の
- 安全性評価
- 推奨リストの作成
を行うプロジェクトです。
主な役割
- 暗号アルゴリズムの安全性評価
- 推奨暗号リストの作成・公開
- 暗号技術の運用指針の検討
運営
- 総務省・経済産業省が中心となって運営
ポイント
- 暗号の安全性を評価するのが役割
- 実際のインシデント対応はしない
- 電子政府で使う暗号の基準になる
SG試験では
「暗号の評価」=CRYPTREC
と覚えると判断しやすくなります。
どんな場面で使う?
使う場面(正しい理解)
- システムで使用する暗号方式を選定するとき
- 安全な暗号を採用する基準を決めるとき
- 電子政府や重要システムの設計
使うと誤解しやすい場面
- ❌ インシデント対応(それはJPCERT/CC)
- ❌ 社内のセキュリティ運用(それはCSIRTやISMS)
よくある誤解・混同
① JPCERT/CCとの違い
- JPCERT/CC:インシデント対応支援
- CRYPTREC:暗号の安全性評価
👉 SG試験ではここをよく混同させてくる
② CSIRTとの違い
- CSIRT:組織内での対応チーム
- CRYPTREC:技術評価(暗号)
👉 「対応するか?評価するか?」で切る
③ SG試験のひっかけ
SG試験では次のような表現に注意:
- 「インシデント対応」「報告受付」→×
- 「暗号技術の評価・推奨」→○
👉 選択肢では
“暗号”というキーワードがあるかをチェック
確認問題(SG試験対策)
次のうち、CRYPTRECの役割として最も適切なものはどれか。
- ア. 組織内で発生したセキュリティインシデントの初動対応と復旧を担当する。
- イ. 脆弱性情報を収集し、国内の関係機関にインシデント対応を調整する。
- ウ. 電子政府などで利用する暗号技術の安全性を評価し、推奨リストを作成する。
- エ. 社内の情報資産を洗い出し、リスクアセスメントの対象を整理する。
▶ クリックして答えと解説を見る(ここを開く)
正解:ウ
解説
- ア:組織内の対応チームであるCSIRTの説明に近いです。
- イ:JPCERT/CCなどの外部調整・支援の説明に近いです。
- ウ:正解です。CRYPTRECは暗号技術の安全性評価・推奨が役割です。
- エ:情報資産台帳やリスクアセスメントの準備に関する説明です。
👉 判断ポイント
CRYPTRECは「暗号を評価する」、CSIRTやJPCERT/CCは「インシデントに対応・調整する」で切り分けます。
まとめ(試験直前用)
- CRYPTREC=暗号の安全性評価・推奨プロジェクト
- 総務省・経産省が中心
- 選択肢では
- 「インシデント対応」→×
- 「組織内対応」→×
- 「暗号の評価・推奨」→○
👉 「暗号か?インシデントか?」で切る