itu-t sg17(セキュリティ)第8回会合報告...42 ituジャーナル vol. 46 no. 12(2016,...
TRANSCRIPT
ITUジャーナル Vol. 46 No. 12(2016, 12)42
1.はじめに 2016年8月29日〜 9月7日にスイス(ジュネーブ)にて、ITU-T SG17の第8回会合が開催された。この会合には日本からの11名を含む、31か国・4機関から143名の参加があった。提出された寄書は63件(うち日本から5件)で、391件の臨時文書(Temporary Document)が発行された。 本会合は、現研究会期(2013 〜 2016年)最後の会合にあたり、ロシアのKremer議長のほか、日本の中尾(筆者)を含む複数の副議長が任期満了により退任することとなった。新議長、副議長は10 〜 11月の世界電気通信標準化総会(WTSA-16)で選出される予定である*。
2.SG17全体にかかわる結果2.1 開発途上国からの寄与に関するスペシャルセッションの開催
開発途上国からの寄与に関するスペシャルセッションが開催された。7月27 〜 28日に開催されたSG17のアフリカ地域グループのミーティングレポートが報告されたほか、アフリカからの寄書等が議論された。 アフリカ地域グループでは、3つのWG(Cybersecurity、Electronic Transaction and Mobile Security、Internet Infrastructure Security)を構成して議論している。
2.2 SG20との連携について
IoT Security/Privacyに関するSG20との連携を議論するスペシャルセッションが開催された。WTSA-16が近いことからSG20にはリエゾンを送付せず、SG20とメールベースで連携して検討するコレスポンデンスグループ(CG-IoT)を更新して継続することとし、WTSA-16後に、SG20側と合同ラポータ会合の開催について検討することとした。
2.3 ITU-TとIETF間のセキュリティに関する連携のため
のスペシャルセッションの開催
前回の会合でIETFとのリエゾンオフィサーとなったMr Vasiliy Dolmatov(ロシア)から、IETF96(7月、ベルリン)のセキュリティエリアミーティングにおいて、SG17の取組みについて紹介した内容等が報告された。 課題11とIETFとで開催されたアドホックセッションでは、CMS(Cryptographic Message Syntax)とIETFでのASN.1の利用に関する議論が行われた。IETFのRFCで古いASN.1が利用され続けていることを問題視している。
3.各課題の主な審議内容と結果3.1 課題1/17:Telecommunication/ICT security coordination
この課題は、SG17における進捗管理や課題間の調整、ITU-T全体のセキュリティにかかわる調整を行うことを目的としている。◦技術レポートX.TRsuss(Technical Report on the successful
use of security standards)がアグリーメント(同意)された。本文書は、ITU-Tのセキュリティに関する多くの勧告群を紹介し、ユーザ(特に途上国のユーザ)が利活用できるように体系的に整理したものである。
3.2 課題2/17:Security architecture and framework
この課題では、各種サービスに必要とされるセキュリティアーキテクチャとフレームワークの検討を行っている。今会合での主な審議結果は、下記のとおりである。◦SDNの各レイヤにおける脅威とセキュリティ要件、設計及
び実装時の参照アーキテクチャを記述するX.sdnsec-2がコンセント(合意)された。X.1038が割り当てられる予定である。
◦勧告X.805で規定される、アクセス制御や認証などの8つ
ITU-T SG17(セキュリティ)第8回会合報告
KDDI 株式会社運用本部セキュリティオペレーションセンターマネージャー
株式会社KDDI 総合研究所セキュリティ開発グループグループリーダー
千せん
賀が
渉わたる
三み
宅やけ
優ゆたか
KDDI 株式会社運用本部 顧問
中なか
尾お
康こう
二じ
* 新議長に韓国のYoum氏、副議長に日本の三宅(筆者)を含む9名が選出された。
会合報告
ITUジャーナル Vol. 46 No. 12(2016, 12) 43
のセキュリティ分野ごとの対策技術をまとめたX.tigsc(Technical security measures for implementation of X.805 security dimensions)がコンセントされた。X.1039が割り当てられる予定である。本件に関し日本から、提案された勧告草案にX.1051(通信事業者向けのセキュリティ管理策の実践規範)と矛盾する内容が含まれていることを指摘し、課題3とのジョイントセッションにて該当部分の修正を行った。
◦勧告草案X.salcm(Security reference architecture for lifecycle management of e-commerce business data)及びX.sgmvno(Security guideline for mobile virtual network operator)を寄書に基づいて更新した。
3.3 課題3/17:Telecommunications information security
management
本課題は、ISO/IECとの共同文書であるX.1051(電気通信事業者向けのセキュリティ管理策の実装ガイドライン)をはじめ、テレコムにおける情報セキュリティマネジメントに関する検討を行う。今会合での主な審議結果は、下記のとおりである。◦個人識別情報を保護するための管理策と実装の手引き
を 記 述 するX.gpim(Code of practice for personally identifiable information protection)がデターミネーション
(凍結)された。本文書はISO/IECと共同で策定された規格であり、ITU-T X.1058│ISO/IEC 29151となる予定である。
◦補足文書X.sup-gisb(Best practice for implementation of ITU-T X.1054-Case of Burkina Faso)がアグリーメントされた。ISO/IECとの共同文書であるX.1054│ISO/IEC 27014(情報セキュリティのガバナンス)のベストプラクティスとして、ブルキナファソ政府における適用例を示している。
◦新規ワークアイテムとして、インターネットからアクセス可能な資産のリスク管理ガイドX.sup-grm(Supplement to X.1055:Risk management implementation guidance on the assets of telecommunication organizations accessible by global IP-based networks)を設立した。また、前回の会合でX.1051が改訂されたことに伴い、同勧告のユーザーズガイド(Users,guide for X.1051)を改訂するためのワークアイテムX.sup13-revを設立した。
◦勧告草案X.sgsm(Code of practice for Information security controls based on ITU-T X.1051 for small and medium-sized telecommunication organizations)、X.sup-gpim(Code of practice for personally identifiable information protection based on ITU-T
X.gpim for telecommunications organizations)を寄書に基づいて更新した。
3.4 課題4/17:Cybersecurity
本課題は、異なる組織間でサイバーセキュリティ情報を交換する技術であるCYBEXシリーズをはじめとする、サイバー空間上の様々な脅威に対する具体的な対策やガイドラインの検討を行っている。主な審議結果は、下記のとおりである。◦ウェブサイト等の信頼性をエンドユーザが認識できる
ようにするための手法を記 述するX.cogent(Design considerations for improved end-user perception of trustworthiness indicators)がデターミネーションされた。X.1212が割り当てられる予定である。
◦ネットワーク間でインシデント情報を交換する際の様々なアクセス制御モデルを説明するX.nessa(Access control models for incidents exchange networks)がデターミネーションされた。X.1550が割り当てられる予定である。
◦X.1500の付録1(Appendix I-Structured cybersecurity information exchange techniques)の改訂を行った。
◦X.sbb(Security Capability Requirements for Countering Smartphone-based Botnets)及びX.samtn(Security assessment mechanisms in telecommunication/ICT networks)を寄書に基づいて更新した。
3.5 課題5/17:Countering spam by technical means
本課題では、スパム対策技術を検討することを目的としている。主な審議結果は、下記のとおりである。◦X.ticsc(Draft new Supplement to ITU-T X.1245-
Supplement on Technical measures and mechanism on countering the spoofed call in the terminating network of VoLTE)を補足文書として発行することを合意した。VoLTEにおけるなりすまし通話の技術的な対策とメカニズムを説明している。
◦X.ctss(Supplement to ITU-T X.1231, Technical Frame-work for Countering Telephone Service Scam)を新規ワークアイテムとして設立することとした。ITU-T X.1231の補足文書となる。電話サービスにおける詐欺行為対策のための技術的なフレームワークの提供を目指している。
3.6 課題6/17:Security aspects of ubiquitous tele-
communication services
本課題は、モバイルセキュリティやUSN(Ubiquitous
ITUジャーナル Vol. 46 No. 12(2016, 12)44
Sensor Network)セキュリティ、ITS/IoT/SDNセキュリティに関連した議論が行われている。主な審議結果は、下記のとおりである。◦X.itssec-1(Software update capability for ITS
communications devices)がデターミネーションされた。X.1373が割り当てられる予定である。日本が中心となって提案、更新を行ってきた文書であり、ITS通信デバイスのためのソフトウェア更新について説明している。
◦X.iotsec-1(Simple encryption procedure for Internet of things(IoT)environments)がデターミネーションされた。X.1362が割り当てられる予定である。本勧告案も日本が中心的に提案、更新を行ってきたものであり、IoTデバイスを想定し、通信メッセージの重要な部分のみを暗号化して処理を軽量化する手法である。
◦X.msec-11(Guidelines on mitigating the negative effects of infected terminals in mobile networks)がデターミネーションされた。X.1126が割り当てられる予定である。モバイルネットワーク上でマルウェア等に感染している端末の状況を把握し、その影響を抑えるためのガイドラインとなっている。
◦スマートグリッドに関する新規ワークアイテム提案Security guidelines for smart metering service in smart gridsがあり、X.sgsec-3としてワークアイテム設立が承認された。
3.7 課題7/17:Secure Application Services
本課題は主に、Webサービスやアプリケーションサービス、P2Pで必要とされるセキュリティ技術に関連した議論を行う。主な審議結果は、下記のとおりである。◦X.hakm(Guidelines on hybrid authentication and key
management mechanisms in the client-server model)を新規ワークアイテムとして設立した。パスワード認証を強化するためのメカニズムを提供する。
◦ X.srfb(Security requirements and framework for big data analytics in mobile internet services)を新規ワークアイテムとして設立した。モバイルインターネットサービスでのビッグデータ解析の際に必要とされるセキュリティ要件とフレームワークを提供する。
◦X.fdip(Framework of de-identification processing service for telecommunication service providers)を新規ワークアイテムとして設立した。電話サービス事業者のための非特定化処理のためのフレームワークを提供する。
3.8 課題8/17:Cloud computing security
SG13と連携を行いながら、クラウド・コンピューティングのセキュリティ関連を中心に検討を行う課題である。今回の会合における主な審議結果は、下記のとおりである。◦新規ワークアイテムとして、X.SRNaaS(Security require-
ments of Network as a Service(NaaS)in cloud computing)、X.SRCaaS(Security requirements for Communication as a Service application environ-ments)及びX.GSBDaaS(Guidelines on security of Big Data as a Service)を設立した。3件とも中国からの提案である。
◦勧告草案X.dsms(Data Security requirements for the monitoring service of cloud computing)及びX.SRIaaS
(Security Requirements of Public Infrastructure as a Service(IaaS)in Cloud Computing)を寄書に基づいて更新した。
3.9 課題9/17:Telebiometrics
バイオメトリクス技術を通信環境で利用するための標準の作成を目的とした課題である。主な審議結果は、下記のとおりである。◦X.bhsm(Telebiometric authentication framework
using biometric hardware security module)がコンセントされた。ISO/IECとの合同文書(ITU-T X.1085│ISO/IEC 27922)として発行される。生体認証ハードウェアセキュリティモジュールを利用したリモート認証フレームワークである。
◦X.tam(A guideline to technical and operational countermeasures for telebiometric applications using mobile devices)がコンセントされた。X.1087が割り当てられる予定である。モバイルデバイスを用いて生体認証をリモートで行うアプリケーションのための対策ガイドラインである。
◦X.tab(Telebiometric authentication using bio-signals)を新規ワークアイテムとして設立することとした。韓国からの提案で、生体信号(心電図や脈波計等)を使ったバイオメトリクス認証のためのものである。
◦X.eassd(Framework of enhanced authentication in telebiometric environments using anti-spoofing detection mechanisms)が新規ワークアイテムとして提案された。中国からの提案で、偽造検知を使ったテレバイオメトリクス認証強化の技術的フレームワークに関する
会合報告
ITUジャーナル Vol. 46 No. 12(2016, 12) 45
ものである。
3.10 課題10/17:Identity management architecture and
mechanisms
ID管理に関連する技術やサービスについて検討する課題である。主な審議結果は、下記のとおりである。◦勧告草案X.1254rev(X.1254:Entity authentication
assurance frameworkの改訂)を寄書に基づいて更新した。エンティティ認証のための4つの保証レベルを規定する本勧告は、ISO/IEC 29115とほぼ同一の内容であり、ISO/IEC側の改訂プロジェクト進捗と同期して検討を進めている。
◦オンラインビジネスにおける“人の実在性認証”に関する検討(Analysis on use cases that point to gaps in current online authentication solutions)のための新規ワークアイテムの提案が中国から行われたが、SG17のスコープ外であるため提案が否認された。
3.11 課題11/17:Generic technologies to support secure
applications
X.509を含むPKI関連と、ASN.1/OID関連の検討を行っている。主な審議結果は、下記のとおりである。◦ISO側でのITU-T X.509シリーズ(X.500、X.501、X.509、
X.511、X.520)のDAMの結果を全て取り入れ、第8版をコンセントした。また、X.509に対するTechnical Corrigendum 3がコンセントされた。
◦X.894(X.cms:Cryptographic Message Syntax)についてIETFとの連携に関するスペシャルセッションで議論が行われ、X.894の作業を中止して新規ワークアイテム
(X.CMS-prof:Cryptographic Message Syntax(CMS) Profile)を立ち上げることとした。IETFにおけるCMSでは古い失効したASN.1が使われていたため、X.894で新
しいASN.1に対応させたが、再調整が行われることになる。
3.12 課題12/17:Formal languages for telecommuni-
cation software and testing
仕様記述言語、メッセージシーケンスチャート(MSC)、User Requirements Notation、 統 一 モデリング 言 語
(UML)、開放型分散処理(ODP)に関する検討を行っている。主な審議結果は下記のとおりである。◦Z.100(SDL-2010)シリーズの実装者ガイドであるZ.Imp100(Specification and Description Language implementer,s guide-Version 3.0.1)を発行することとした。
◦SDL-2010の形式定義(Z.100 Annexes F1, F2 and F3)の改訂版がコンセントされた。
◦Testing and Test Control Notation version 3シリーズ(TTCN-3)のTTCN-3 core language(Z.161)、TTCN-3 operational semantics(Z.164)、TTCN-3 control interface(TCI)(Z.166)、Using XML schema with TTCN-3(Z.169)がコンセントされた。
4.今後の会合の予定について 次回のSG17会合は、新研究会期(2017 〜 2020年)第1回目の会合にあたり、2017年3月20日(火)〜 3月29日(水)にスイス(ジュネーブ)で開催される。また会合前日の3月19日(月)には、SG17のマネジメントチームが中心となって、ブロックチェーンをテーマとするワークショップを開催する予定である。 次回会合までに開催される中間会合及び、次回以降の会合予定は表1のとおりである。また、各課題のラポータ及びアソシエートラポータは第1回会合において選出されるが、それまでの空白期間のラポータ/アソシエートラポータ
(interregnum rapporteurs/associate rapporteurs)は表2
のとおりとなっている。
※1 2017年2月の課題3、6の中間会合は、同一会場・日程で実施される。
会合名 開催期間 開催地 会合内容
課題8中間会合 2016年12月12 〜 13日 中国(北京) X.dsms、X.SRIaaS、X.SRNaaS、X.SRCaaS、X.GSBDaaS、新規ワークアイテムの検討
課題4中間会合 2017年1月 バーチャル会合 課題4のワークアイテム全て
課題6中間会合 2017年1月19日または20日 スイス(ジュネーブ) ITSセキュリティに関するSG16課題27との合同会合
課題3中間会合※1 2017年2月 韓国(ソウル) X.gpim、X.sgsm、X.sup-gpim、X.sup-grm及びX.sup13-rev
課題6中間会合※1 2017年2月 韓国(ソウル) 課題6のワークアイテム全て
課題11中間会合 2017年2月6 〜 10日 チュニジア(チュニス) ISO/IEC JTC1/SC6/WG10との合同会合
ワークショップ 2017年3月20日 スイス(ジュネーブ) ブロックチェーンをテーマとしたワークショップ
SG17会合 2017年3月21〜 29日 スイス(ジュネーブ)
■表1.今後の関係会合の予定
ITUジャーナル Vol. 46 No. 12(2016, 12)46
5.おわりに 今回開催された「ITU-T SG17(セキュリティ)第8回会合」は、研究会期(2013 〜 2016年)の最後の会合となり、現在の会期が終了した。今会期では、前の会期(2009 〜2012年)で議論された課題を継続して検討することに加え、近年における脅威の変動、環境の変化に伴う多くの新たな研究課題が審議され、その勧告化が進められた。 例えば、現在では多くの企業において一般的に活用されているクラウドコンピューティングについては、2013年当初からクラウドセキュリティに関するフレームワークの検討がなされ、SG13との連携を考慮しながら、勧告X.1601(クラウドコンピューティングのためのセキュリティフレームワーク)を完成させた。本規格は、ISO/IEC JTC1/SC27においても参照されており、ITU-Tのクラウドセキュリティの基本規格となった。その後、クラウド提供者や利用者のためのセキュリティ管理策(対策)の実施の規範(Code of Practice)が上記SC27と共同で規格化され、クラウドセキュリティの規格化の基礎を固めた。 さらに、今研究会期においては、近年の環境変化において顕著となってきている、IoTサービス/システム、つながる車(自動運転も含む)、スマートグリッド、仮想化されたネットワーク環境(SDN/FVN)などの多くの新たな環境要素に関するセキュリティ検討が提案され、それらの勧告化が開始された。これらの課題の多くは新研究会期においても規格化作業が継続されるが、その一部については、今回の第8回SG17会合にて凍結や合意を得ることができ
た。例えば、車同士、路側と車など「つながる車」に搭載されるソフトウェアモジュールを遠隔からアップデートする勧告については、多くの車関係者(団体)との議論の結果、アップデート手順を勧告化することができた。本結果は、ITU-T SG17では初めてのITSに関係する規格であり、多くの標準化団体や車関係者に注目されている。 上記の幾多の重要課題においては、ITU-T SG17だけでそれらの規格化の検討を行っているものではなく、ISO、IEC、JTC1、IETF、多くのSDOでそれぞれ検討を開始している状況である。特に、今後のIoTに関するセキュリティについては、ITU-Tの中でもその分担や連携に苦慮しており、現在、SG17とSG20の間で作業役割分担の調整が急務とされている。さらに、本案件については、ITU-T以外のISO/IEC JTC1、多くのローカルSDOなどでも規格化の検討が多方面から既に開始されており、今後のITU-T SG17で何を勧告化し、どのSDO(複数)と連携を進め、関係SDO全体として最も効果的な規格化をどのように確立していくかが今後の重要な進め方の鍵になることは間違いない。 新研究会期(2017 〜 2020年)に向けた課題整理は、2016年10 〜 11月のWTSA-16において議論されることになるが、具体的なSG17における役割、及び本当に活用されるセキュリティ勧告化のための活動プランについては、WTSA-16の後のラポータ会合、第1回SG17会合において、集中的に議論を行う必要があろう。新研究会期は、本当の意味でSG17の真価が問われる会期となると考える。
■表2.次回会合までの空白期間のラポータ/アソシエイトラポータ(Interregnum Rapporteur/Interregnum Associate Rapporteur)
Question Interregnum Rapporteur Interregnum Associate Rapporteur
1/17 Mohamed M. K. ELHAJ(スーダン) Cai CHEN(中国)Isaac Kobina KWARKO(ガーナ)Yiwen WANG(中国)
2/17 Zhiyuan HU(中国)※2
Heung Ryong OH(韓国)※2 ─
3/17 Miho NAGANUMA(日本/NEC) Kyeong Hee OH(韓国)
4/17 Youki KADOBAYASHI(日本/NICT) Jong-Hyun KIM(韓国)
5/17 Yanbin ZHANG(中国) Changoh KIM(韓国)
6/17 Jonghyun BAEK(韓国) Bo YU(中国)Yutaka MIYAKE(日本/KDDI)
7/17 Jae Hoon NAH(韓国) Lijun LIU(中国)
8/17 Liang WEI(中国) Sang-Woo LEE(韓国)
9/17 John George CARAS(アメリカ) Kepeng LI(中国)
10/17 Abbie BARBIR(アメリカ) Hiroshi TAKECHI(日本/NEC)Junjie XIA(中国)
11/17 Erik ANDERSEN(デンマーク) Jean Paul LEMAIRE(フランス)
12/17 Dieter HOGREFE(ドイツ) Gunter MUSSBACHER(カナダ)※2 共同ラポータ(Co-Rapporteur)
会合報告