情報通信審議会 情報通信技術分科会 ITU‐T部会　セキュリティ・言語委員会（第16回） 議事概要

平成21年4月23日（木）10：00〜12：00

経済産業省別館10階　1012会議室

専門委員　　小松 尚久（主査）、相羽 律子、門林 雄基、中尾 康二、中川 哲也、
　　　　　　　　永沼 美保、藤本 陽子、宮川 晋、米田 進、和田 みどり
関係者（注） 石井 晋司、磯部 義明、江川 尚志、鍛 忠司、武智 洋、針生 剛男、
　　　　　　　　日高 純康、三宅 優、渡辺 龍
事 務 局 　　 新井（情報セキュリティ対策室長）、中村（同課長補佐）、
　　　　　　　　中尾（同国際政策係長）、山本（同国際政策係）、
　　　　　　　　丸尾（通信規格課国際情報分析官）、五十嵐（同国際標準係長）、
　　　　　　　　深松（データ通信課事業振興係長）、神谷（消費者行政課主査）
（注） 関係者は、ITU‐Tのセクターメンバー等

（1）第1回SG17／WP会合の結果報告

　2009年2月11日から同20日までジュネーブで開催されたITU‐T SG17／WP会合について、出席者から結果報告が行われた。主な質疑は以下のとおり。

課題1：電気通信システムセキュリティプロジェクト

○新任ラポータのため議事進行に不安が残るとのことだが、アソシエイトラポータとして議事進行を補助できる人材はいないのか。
→最近になって、SG17議長から候補者の推薦があった状況。本課題はリードSG活動を担っているため、運営面が安定するまで、SG17のマネジメントチームによるサポートが引き続き必要だろう。

課題2：セキュリティ体系及びフレームワーク　

○ビジネスユーストップ100セキュリティ標準の検討とは、途上国向けの参考資料を作ることが目的なのか。
→数あるセキュリティ標準の中から有効性の高いものをリストアップし、その重要性を知らしめることで各国での適用を促すもの。特に途上国向けに限定した取組ではないが、既に対策が進んでいる先進国よりも、これから対策に取り組む途上国の方が、より利用価値が高いであろう。
→当該取組の実施にあたっては、労力の大きい選定作業を誰が行うのか、どのような基準で選定するのかが問題視されたため、SG17からITU‐D等の関係機関にリエゾンを送付して意見を求めていたところ。ITU‐Dでは、テレコミュニケーションセキュリティというスコープ内の標準を扱うことを前提とした上で、当該取組に賛同する旨のリエゾンを返信する予定との情報を得ている。

○現状、本課題で本来扱うべきNGNの議論が行われていないことが大きな問題。今後、日本が議論を主導することを検討する必要があるかもしれない。

課題3：電気通信情報セキュリティマネジメント

○中国、韓国、日本以外が議論にあまり参加していないことに理由はあるのか。
→他国の興味あるいは優先度が、課題4や課題10に比べて相対的に低いのではないか。ただし、今回は米国やロシアといった主要国からの参加もあった。

○9月会合では、韓国から中小ISP向けの情報セキュリティマネジメントに関する勧告提案が提出される予定。ISPにフォーカスされるという点で、一般の中小企業向けISMSとは差別化されており、動向を注視しておく必要がある。

○日本から提案した電気通信事業向けISMSについては、ISO27001の要求事項に対してテレコミュニケーション特有の要件を入れ込むための検討を、日本の主導により開始すべきである。

課題4：サイバーセキュリティ

○サイバーセキュリティはWTSAでも重要課題に挙げられており、日本としても積極的に貢献していくべき。

○ボット対策についても日本から貢献できる可能性があるとのことだが、これは国内の取組である「サイバークリーンセンター」に基づく寄与を考えているのか。
→韓国からX．botsという勧告が提案されており、勧告末尾のAppendixに各国の取組が記載されている。既に「サイバークリーンセンター」に関する記述もあるが、簡単な概要説明にとどまっているため、途上国等がベストプラクティスとして十分に活用できるよう、取組の詳細情報を入力する予定。

課題5：技術的手法によるスパム対策

○日本の取組は、独自のサプリメントとして入力するのか。
→米国のサプリメントを修正し、ケーススタディの項に日本の取組を追加する形を想定している。米国と事前に調整した上で、9月会合に寄与文書を入力予定。

○X．1242については、プライバシーの観点からドイツが一部反対しており、ノート部分には、「この勧告又はその一部は、国内法の規定によりドイツには適用できないかもしれない。」と記載されている。
→個別国での適用可否に踏み込んだ内容であり、適当な記述とは言えない。ドイツはID管理においても同様の主張を行っており、その動向には注意しておく必要がある。

課題7：セキュアなアプリケーションサービス

○新規提案のX．sap‐3について、どのような方針で勧告化するのか。
→6月の合同ラポータ会合又は9月のSG17／WP会合において、日本から、認証情報の管理に関するフレームワークの勧告化のための提案を行う。当初、当該勧告はOTPに特化されていたが、2月会合において、より広いフレームワークの必要性が認められたため、最近の認証方式を広くカバーできる汎用的なフレームワークを提案する。

課題8：SOAセキュリティ

○課題6〜8のすみ分けはどうなっているのか。
→カナダの提案を受け、課題の負荷分散を図る観点から、前会期の課題9を現在の課題6と7に分割した。課題8としては、SOAに関連した具体的な検討事項を新たに見つける必要がある。

課題9：テレバイオメトリクス

○プライバシー問題は今後も出てくると思うので、ISO SC37のWG6との間でリエゾン等により連携を取っておくべき。

○Testing procedureとReporting Procedureを追加した勧告化プロジェクトにすべきという議論は生体認証の精度評価のとりまとめを念頭に置いていると思うが、メソドロジー主体でとりまとめるべき。一方、メソッドはアルゴリズムに依存する面があるので、Annex又はAppendixにてまとめるのが良いと考える。

課題10：ID管理のアーキテクチャ及びメカニズム

○2月会合でTAP凍結されたX．1250及びX．1251について、次回会合にて承認審議を行うための郵便投票を求める回章が事務局に届いている。当該勧告は6月の合同ラポータ会合で議論されるX．idmdefとも関連するため、それらの動向を踏まえつつ、別途メールベースで照会する予定。

○X．idmdefは、どういう方向性でまとめられる予定か。また、「identity」という用語自体の定義についても定めるのか。
→基本的には、既存のX．1250やX．1251における定義をそのまま流用し、定義が存在しない用語のみ独自に定義する。
→「identity」の定義はX．1250やX．1251にも存在しているが、その意味や適用範囲が非常に曖昧であるため、会合での論点整理に注視しておく。

○当面、日本として積極的に入力すべき事項はないようだが、ID管理もWTSAの重要課題に挙げられており、引き続き注視していく必要がある。

課題12：ASN.1、OID及び関連するレジストレーション

○OID解決のためにトップドメインを割り当てる理由は何か。
→2008年9月会合に入力されたOIDリゾルバーに関する寄書によると、DNSでのin-addr.arpaを使った逆引きのような仕組み、つまり、割り当てられたOIDからオブジェクトや標準を検索することを意図していると思われる。
→わざわざICANNの管理するルートDNSを用いる理由があるのか。
→ID管理で活用するため、敢えてルートDNSで検索したいのであろう。例えば、アイデンティティプロバイダの番号体系をOIDで管理するなど。
→これを実行すると、世界中のDNSのリゾルバーキャッシングに余計なレコードが付加され、インターネット全体に無用な負荷がかかる。ICANNやIETFで議論された結果、「受容できない」という結論になることが容易に予想できる。
→ITU‐Tは、ID管理での利用を考慮した特殊な要件の下でOIDリゾルバーという仕組みを提案しているが、この仕組みは様々な用途に使えるため、意図した以上の破壊的なトラフィックを生じさせる可能性がある。
→オペレータの立場としては、様々な用途でDNSが利用されるのはいいが、負担に応じた対価がきちんと支払われるべきという考え方。インターネット全体に与える影響を考えると、日本として必ずしも諸手を挙げて賛成できないのではないか。
→技術的にトップドメインを別目的で使用することの可否を問う問題なので、ICANNからIETFに諮られ、DNSの技術標準を検討する場で議論されるだろう。世界中のDNSに与える影響の大きさから、大多数の参加者が反対すると思われる。

（2）今会期の重要研究課題と今年度の取組の方向性

　今会期（2009−2012年）における重要研究課題と平成21年度の取組の方向性について、事務局から説明が行われた。続いて主査から、重要研究課題の検討に向けた体制整備のため、「サイバーセキュリティ」と「技術的手法によるスパム対策」を扱うワーキンググループ（WG）及び「テレバイオメトリクス」と「ID管理」を中心にアプリケーション及び認証を扱うWGの設置を検討することが提案された。

（3）その他

　次回の委員会は、2009年9月16日から同25日まで開催されるSG17／WP会合への対処について検討するため、8月下旬を目途に開催予定である旨が事務局から周知された。