sg sg-security-measures
まず結論
- CRYPTRECは、安全な暗号技術を評価・推奨する日本のプロジェクトである。
- SG試験では「暗号の評価」か「インシデント対応(JPCERT/CC)」かを見分ける問題が多い。
直感的な説明
会社でシステムを作るとき、
- どの暗号を使えば安全か?
- 古い暗号は危険じゃないか?
と迷いますよね。
CRYPTRECは、
「この暗号は安全に使えるよ」とお墨付きを出す専門チームです。
👉 イメージ
- CRYPTREC:暗号の品質チェック担当
- JPCERT/CC:事故対応担当
定義・仕組み
CRYPTREC(Cryptography Research and Evaluation Committees)は、
- 電子政府などで利用する暗号の
- 安全性評価
- 推奨リストの作成
を行うプロジェクトです。
主な役割
- 暗号アルゴリズムの安全性評価
- 推奨暗号リストの作成・公開
- 暗号技術の運用指針の検討
運営
- 総務省・経済産業省が中心となって運営
ポイント
- 暗号の安全性を評価するのが役割
- 実際のインシデント対応はしない
- 電子政府で使う暗号の基準になる
SG試験では
「暗号の評価」=CRYPTREC
と覚えると判断しやすくなります。
どんな場面で使う?
使う場面(正しい理解)
- システムで使用する暗号方式を選定するとき
- 安全な暗号を採用する基準を決めるとき
- 電子政府や重要システムの設計
使うと誤解しやすい場面
- ❌ インシデント対応(それはJPCERT/CC)
- ❌ 社内のセキュリティ運用(それはCSIRTやISMS)
よくある誤解・混同
① JPCERT/CCとの違い
- JPCERT/CC:インシデント対応支援
- CRYPTREC:暗号の安全性評価
👉 SG試験ではここをよく混同させてくる
② CSIRTとの違い
- CSIRT:組織内での対応チーム
- CRYPTREC:技術評価(暗号)
👉 「対応するか?評価するか?」で切る
③ SG試験のひっかけ
SG試験では次のような表現に注意:
- 「インシデント対応」「報告受付」→×
- 「暗号技術の評価・推奨」→○
👉 選択肢では
“暗号”というキーワードがあるかをチェック
まとめ(試験直前用)
- CRYPTREC=暗号の安全性評価・推奨プロジェクト
- 総務省・経産省が中心
- 選択肢では
- 「インシデント対応」→×
- 「組織内対応」→×
- 「暗号の評価・推奨」→○
👉 「暗号か?インシデントか?」で切る
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証・認可・アクセス制御の違いとは?役割の切り分けを整理【情報セキュリティマネジメント】
- アクセス制御(認可)とは?認証との違いを整理【SG試験】