no. 94€¦ · 構成するファイルやコードに注目した静的解析があ る. (a)...
TRANSCRIPT
No. 94 2012 年 6 月
目 次 標準活動トピックス:
スマートフォンセキュリティの課題と国際標準化 ...................................... 2 竹森 敬祐(KDDI 研究所),中尾 康二(KDDI(株))
最近の国際会議から: JTC 1/SWG-Directives 会議報告 ..............................................................7
伊藤 智(独立行政法人産業技術総合研究所)
JTC 1/SWG on Planning 会議報告 .............................................................8
楠 正憲(日本マイクロソフト(株))
SC 35(User interface/ユーザインタフェース)総会報告 .......................................8
山本 喜一(慶應義塾大学)
2012 年 6 月以降 国際会議開催スケジュール .............................................. 9
JIS 公示: JIS X 0160 ソフトウェアライフサイクルプロセス..............................................10
竹下 亨(元中部大学),山形 薫(三菱電機(株))
JIS X 25001 計画及び管理,JIS X 25030 品質要求事項 .........................................11
東 基衞(早稲田大学),山形 薫(三菱電機(株))
わが社の標準化への取り組み:株式会社東芝............................................. 12 平山 浩司((株)東芝)
国際規格開発賞の表彰 ................................................................ 13
2012 年度 標準化功績賞および貢献賞の表彰 ............................................. 14
会員のページ:横河電機株式会社....................................................... 16 武部 達明(横河電機(株))
声のページ:クラウド技術標準化の在り方 ................................................. 17 後藤 厚宏(情報セキュリティ大学院大学)
解説:軽量暗号技術の最新動向......................................................... 18 盛合 志帆(独立行政法人情報通信研究機構)
編集後記 ............................................................................ 20
<標準活動トピックス> スマートフォンセキュリティの課題と国際標準化
竹森 敬祐(KDDI 研究所),中尾 康二(KDDI 株式会社)
1. はじめに
スマートフォンとは,PC 向け汎用 OS の上に,利
便性の高いアプリケーション(以下,アプリと呼ぶ)
を実行させるための豊富な API が揃った携帯端末で
ある.こうした API を駆使した便利なアプリもある反
面,リテラシやモラルの乏しいアプリ開発者による不
正コピーの氾濫や悪意のコード(マルウェア)の埋め
込み,プライバシに関わる情報の勝手な収集がなされ,
また,それを許すアプリ配信サイトの存在が問題視さ
れている. 本稿では,スマートフォン向けアプリ開発や配信に
おける問題点を洗い出し,そのための推奨対策や業界
の取り組みについて述べる.さらに,スマートフォン
セキュリティに関連する国際標準化の状況と今後の
展望についても触れる. 2. 最近のスマートフォンにおけるセキュリティの課
題
アプリをインストールして高機能化を図るスマー
トフォンにおけるセキュリティは,アプリ開発者とア
プリ配信サイトが鍵を握っているといっても過言で
はない. 2.1 スマートフォンの特徴 - その光と影 -
本稿で考えるスマートフォンの光と影を以下に列
挙する. (1) アプリ開発と配信が自由化された携帯端末(光)
である一方で,アプリ開発や配信が世界の個人層
まで拡がり,アプリの品質や開発者のモラル低下
が進んでいる(影).また,図1に示すように,
陳列されるアプリに対してセキュリティ管理を
行っていないアプリ配信サイトが問題視されて
いる(影). (2) アプリ開発キットが充実している(光)一方で,
逆コンパイルツールによるコードの盗用(影)な
どが存在する. (3) PC に電話アプリが搭載されたネット端末として
活用できる(光)一方で,端末を踏み台にしたマ
ルウェア感染が見られる(影). (4) アプリを通じてユーザの嗜好に合わせた適切な
サービスや広告を提供できる(光)一方で,プラ
イバシ侵害への不安が拡がっている(影).
2.2 不正コピーアプリ
Java ベースの開発環境を引き継ぐスマートフォン
向けアプリの場合,逆コンパイルが容易であり,抽出
したコードを再コンパイルしたものでも正しく動作
する.このため,他者が開発したアプリのコードを不
正にコピーした,偽物アプリが氾濫している. 中国のあるアプリ配信サイトにおいて,日本で有名
なキャラクタのキーワードでアプリを検索すると,本
家のロゴの色だけを変えた偽のイメージキャラクタ
を用いたアプリが現れる.イメージ画像にも著作権が
あり,こうした不正コピーも見逃せない. 2.3 感染アプリ
2010 年 12 月に,スマートフォンなどに向けた OSの一つである Android ™ で動作する,初の踏み台型
アプリが現れた.これは,有料のゲームアプリを逆コ
ンパイルして,ボット(コンピュータウィルスの一種)
のコードを埋め込んで再コンパイルし,中国の配信サ
イトを通じて無料で公開されたものである(図 2).ゲームとしての機能は通常通り動作するが,密かにボ
ットとして動作するため,アプリが感染していること
にも気づくことは難しい.
図 1 安全管理のないアプリ配信サイトの問題
2.4 勝手な情報収集アプリ
個人との結びつきの強いスマートフォンでは,ユー
ザを識別できる情報や嗜好と関連する情報を活用し
たサービス提供が活発に行われている.ここで,スマ
ートフォンには端末固有 ID,アドレス帳,GPS デバ
イスなど,センシティブなユーザ情報が管理されてお
り,悪意はなくともユーザ許諾を得ないままの情報収
集が問題視されている[1].この情報収集に関わる構造
を図 3 に示す.今,ユーザを特定したターゲティング
サービスとプライバシ保護のバランスが問われてい
る.
3. スマートフォンの安全性確保のための対策
上記のようなスマートフォンを取り巻くセキュリ
ティの課題/問題に対向するため,図 4 に示す具体的
な対策が議論されている. 3.1 アプリ開発者の啓発
3.1.1 法令・文化・著作権の遵守
スマートフォン向けアプリは,世界中で利用される
ことを念頭に,設計・開発する必要がある.つまり,
利用される全ての国の法令に遵守した設計とし,地域
の文化や表示言語に配慮する必要がある. 特に,コードやイメージ画像の著作権はオリジナ
ルの開発者にあることを忘れてはならない. 3.1.2 端末からの情報収集のあり方:アプリ開発者
ターゲティングサービスを提供するために,外部
の情報収集モジュールを組み込む場合には,その特
性を理解して,ユーザへの説明が必要である.勿論,
アプリ自体が送信する場合にも,ユーザへの説明は
必要である.説明は,(i)誰に,(ii)何の情報を,(iii)何の目的で,送信するのか,アプリのシナリオの中
に組み込むことが求められる.特に,プライバシに
関わる情報を収集する場合には,収集前に許諾を得
るオプトイン方式が望ましい. 外部の情報収集モジュールを利用する場合には,
次節に説明する安全な情報収集事業者のモジュール
を利用することを心掛けたい.
図 2 感染アプリを配信するサイト
ユーザのスマートフォン
アプリ
ユーザのスマートフォン
アプリ
利用者のスマートフォン
(無料)アプリ
情報収集モジュール
サービス提供事業者
情報収集事業者
アプリ開発者
アプリ配信サイト
情報収集モジュール
(無料)アプリ
情報収集モジュール
(有料)アプリ
情報収集モジュール
(無料)アプリ
情報収集モジュール
報酬
(無料)アプリ
情報収集モジュール
サービス
嗜好情報
報酬
利用者情報DB
図 3 情報収集ネットワークの一例
\
青少年保護(年齢制限)
開発者確認
感染
マルウェア検知
不正コピー
安全な課金システム
著作権確認
問合せ窓口
開発ガイド
合格
開発者啓発
侵害
Privacy
プライバシ保護
図 4 アプリ開発者とアプリ配信サイトに
求められる取り組み
3.1.3 端末からの情報収集のあり方:情報収集事業者
情報収集モジュールには,ユーザのプライバシに配
慮した安全策を講じることが望まれる. ● ユーザへの説明
情報収集事業者は,自身の Web サイトなどを通じ
てユーザに,(i)誰が,(ii)何の情報を,(iii)何の目的で,
取得するのかなどが記されたプライバシポリシの掲
載が求められる.また,アプリ開発者に対しても,同
様な説明をアプリのシナリオの中でユーザに示すこ
とを求める必要がある. ● 必要最低限の情報収集
収集する情報は,事業目的に沿った 低限の情報に
留めなければならない. ● 独自の ID
情報を収集する事業者側でユーザを特定する必要
がなければ,端末側で独自の ID(Universally Unique Identifier :UUID)を生成して,これを利用することが
望まれる. ● 情報送信の停止
ユーザの申し出に従い,端末からの情報送信を停止
する機能が求められる. ● ID のキャンセル
ユーザの申し出に従い,収集された情報を削除する
ことが求められる.これを実現する手法の一つとして,
ID を安全に取り替える方式がある.端末側で主体と
なって過去の IDとリンクしない IDを再生成すること
で,サーバ側で管理されている過去の ID とそれと結
びついた情報が無効化され,情報自体が忘れられる. 3.2 適切な配信サイトの運用
アプリ配信サイトが,アプリ開発者およびユーザに
とって安心でき,スマートフォンサービス全体として
の信頼性の向上に繋がる推奨施策を以下に示す. 3.2.1 開発者の確認
配信サイトは,個人・法人に関わらず配信アプリの
開発者の実在と事業内容の確認は重要である.また,
高品質で安全なアプリを開発する個人や法人を認定
する仕組みを設けるのも良い.また,ユーザの安全を
損なうアプリを提供した開発者を受け入れない対応
も望まれる. 3.2.2 マルウェア感染の確認
配信するアプリについては,以下の項目などに注目
したセキュリティ検査を行うと良い.尚,検査につい
ては,実行時の挙動に注目した動的解析や,アプリを
構成するファイルやコードに注目した静的解析があ
る. (a) 情報漏洩: 勝手に ID やプライバシに関する情
報を外部に送信していないか?
(b) 不正課金: 勝手に料金の発生するサービス(電
話や SMS)を利用していないか? (c) 踏み台: 外部から端末を不正に制御していない
か?別のアプリを勝手に呼び込んでいないか? (d) 脱獄: 本来利用できないコマンドや API を利用
していないか? →OS・ドライバ・ライブラリなどに潜む脆弱性
を突く攻撃を行っていないか? →他のアプリが奪った特別な権限(管理者,シス
テム)を利用する設計になっていないか? (e) 法令違反: 容易に犯罪に利用されうる機能を具
備していないか? 3.2.3 安全な課金システムの使用
ユーザが安心できる課金システムとして,課金に必
要なユーザ情報の安全な管理や,ユーザの不注意によ
るアカウント情報の漏洩,不正利用が生じた場合の迅
速な対応策を備える必要がある. アプリやコンテンツに対する課金,アプリ内でのア
イテム課金などに対して,課金が発生するタイミング
で,個別にユーザ許諾を得る仕組みを設けると良い. 3.2.4 著作権の適正な管理
誰もが行える方法で,ユーザ端末側でアプリを抜き
取られて複製・実行されないよう,予防措置を持つこ
とは重要である. 開発元/提供元の名称や配信するアプリの名称が,
別の事業者やアプリ名称に酷似している,またはユー
ザを惑わすような紛らわしい名称ではないことを確
認する必要がある.イメージ画像やキャラクタについ
ても,別の事業者が著作権を持つ画像やキャラクタに
類似したものを持つアプリを配信しないように注意
しなければならない. 3.2.5 青少年利用に配慮した運用
青少年が利用する事を考慮し,親権者からの同意を
得る仕組み,年齢を考慮した閲覧制限や課金上限額の
設定などに配慮することも重要である. 3.2.6 ユーザからの問合せ窓口の設置
質問,クレーム,不正アプリに関する連絡を受ける
窓口を設置する必要がある.その際,窓口の連絡先や
連絡方法が解りやすく明記され,地域に適した言語で
対応できることが求められる. 3.2.7 開発者へのサポート,注意喚起,啓発
アプリ開発者からの,要望,問合せなどに対応する
窓口を設けるのも良い.また,ユーザからの情報や,
スマートフォン向けアプリに関する啓発・教育など,
開発者に有益な情報の提供を心掛けるべきである.
3.1.2 節で説明した,アプリによるユーザ情報の収
集に関しては,配信サイトにおけるアプリ選択の指標
になりうる.よって,配信サイト側にもアプリから外
部送信される情報について,(i)誰が,(ii)何の情報を,
(iii)何の目的で取得するのか,説明するのが望ましい. 4. 業界の取り組み
4.1 業界横断のフォーラム
日本スマートフォンセキュリティフォーラム
(JSSEC)では,アプリ開発者に向けた啓発やアプリ
配信サイトの適正な運用について,端末メーカ,通信
キャリア,アプリ開発者などの業界横断的なメンバで,
本稿で紹介した内容などの協議を行っている.協議の
成果については,JSSEC のホームページ[2]を通じた情
報公開や,ITU-T などの国際連携(5 章,6 章参照)
を進めて行く必要があると考えている. 4.2 アプリ販売サイトの取り組み
利便性で注目を集めるスマートフォンにおいて,3章で推奨した取り組みを実践している配信サイトは
少ない.ポイントは,アプリ開発者およびユーザの両
者から信頼される配信サイト作りである.例えば,au Market では,3 章の取り組みを進める中でも,特に研
究開発で培ったアプリの攻撃性解析技術[3][4]を活用し
た,投稿アプリに対する事前のセキュリティ検査プロ
グラムを設けている. 5. ITU-T での活動
国際標準化機関である ITU-T(国際電気通信連合
(電気通信標準化部門))における SG17(セキュリテ
ィ)では,スマートフォンに関するセキュリティ技術
の規格化の検討を昨年度から開始している.活動はま
だ緒に就いたばかりであるが,以下に示す 2 つの勧告
化を進めている. 5.1 勧 告 X.msec-6: Security aspects of
smartphones の草案
この勧告案は,スマートフォンのセキュリティを分
析し,そのための対策を提案するもので,以下の内容
を含む.現在,勧告草案として審議の過程にあるが,
本勧告の読者としては,モバイルオペレーター,スマ
ートフォン構築者,ソフトウェア構築者,セキュリテ
ィ研究者を主に想定している.ただし,一般的なスマ
ートフォンユーザへの活用も考慮している. 1 章:スマートフォンの資産の識別方法 2 章:スマートフォンセキュリティとは 3 章:スマートフォンの脅威分析 4 章:セキュリティフレームワークの構築 5 章:スマートフォンセキュリティ要求事項 6 章:ハードウェアセキュリティ,通信セキュリテ
ィ,システム運用セキュリティ,アプリケーショ
ンセキュリティ,及びプライバシに関わるセキュ
リティ技術の提言 5.2 勧 告 X.msec-8 : Secure application
distribution framework for communication devices
の草案
本勧告は,通信ディバイスのためのセキュアアプリ
配信のためのフレームワークを提供するものである.
ここで対象とする通信ディバイスとしては,スマート
フォン,タブレット PC,Set-Top-Box,その他類似の
ディバイスを含めることとし,それらは,管理された
アプリの配布サイトからアプリをダウンロードでき
る機能,及びそれを実行する機能を保有するものとす
る. この勧告は,セキュアなアプリの構築やアプリの配
布に関わるライフサイクルの管理のためのセキュリ
ティ要求事項を含むものである.本勧告に関連する課
題は,日本から 2012 年 3 月に提案し,承認されたも
のであるため,草案化,具体的な審議はこれからであ
る.今後,提案国である日本からの具体的な草案提案
が求められている. 6. 今後の展開(ISO への展開など)
現状の ISO/IEC JTC 1/SC 27 においては,まだスマ
ートフォンを直接的なターゲットとした規格審議を
開始しておらず,新規課題の提案も上がっていない状
況にある.しかしながら,本稿で述べているように,
アプリをいかにセキュアに作成し,運用するかについ
ては,幾つかの既存の規格審議と関係する. 6.1 SC 27/WG 3 の審議
WG 3 はセキュリティ評価(Evaluation)に関係する
課題の規格化を進めている WG であり,ISO/IEC 15408(Common Criteria: CC)の規格化が有名である.
WG 3 では,以下に示す技術資料(Technical Report: TR)の策定を進めており,スマートフォンに限らず,
多くのアプリを搭載しているシステムのセキュリテ
ィ設計について深く言及している. タイトル:Secure system engineering principles and techniques (TR 29193) 現在,3rd PDTR(Proposed Draft TR)の審議を終え,
4th PDTR に移行して審議を継続するところである.
本 TR が目指すスコープは以下の通りである. 本 TR は,情報通信システムを安全に(セキュアに)
設計するための原則,実践,技術のガイダンスを提供
するものであり,これらは既存の設計技術や標準文書
と連携していると位置づけられる.具体的には,シス
テムで内包するリスク(潜在リスクも含む)を軽減す
るためのシステム設計ライフサイクル上の段階毎に
活用できる原則や技術に焦点を当てている.(ただし,
リスク評価やセキュリティ対策の選択方法について
は言及していない.) 本 TR は,システム開発者,及びシステム評価者の
ための参考情報として提供するもので,たとえば,プ
ロジェクトマネージャー,システム設計者,ソフトウ
ェア設計者,ソフトウェア検査者などが読者ターゲッ
トとなる. 6.2 SC 27/WG 4 の審議
WG 4 はセキュリティ対策とサービスに関わる課題
の規格化を進めており,本スマートフォンと関係する
部分としては,ISO/IEC 27034(アプリケーションセ
キュリティ)の規格がある.本規格は,以下のような
複数のパート(Parts)によって構成され,現在,Part 1のみ規格化が完了している. ・ Part 1 : Overview and Concepts(規格化完了) ・ Part 2 : Organization Normative Framework ・ Part 3 : Application Security Management Process ・ Part 4 : Application Security Validation ・ Part 5 : Protocols and Application Security Controls
Data Structure ・ Part 6 : Security Guidance for Specific Applications
基本的な概念は,図 5 で示すように,アプリの設計を
セキュアに実施するために,法的要素,事業的要素,
及び技術的要素を総合し,多面的視点からセキュリテ
ィを確保できるアプリを設計することを目指してい
る.その本質としては,アプリ設計のためのセキュリ
ティ部品(ASC(Application Security Controls))を用
いて,その組み合わせにより,より精度の高いセキュ
アなアプリを設計できるようにしている.
現在,日本などからの提案により,ASC(部品)の
具体化を先行する必要があることから,上記 Part 5,及び Part 6 から先に審議を進めている状況にある.
Part 5,及び Part 6 の内容が安定してきてから,残り
の Part 2~Part 4 を進める予定である.なお,本規格
については,上述の WG 3 との連携も視野に入れなが
ら進めている. 6.3 ISO/IEC JTC 1/SC 27 におけるスマートフォンセ
キュリティ規格への展望
JTC 1 の性格から,単純にスマートフォンというビ
ジネス形態に絞った規格化は難しいと考えられるが,
上述の JTC 1 の活動に加え, IEEE における
CSDA/CSDP (Software development),SANS(SysAdmin, Audit, Networking, and Security) Institute における
GSSP-C/GSSP-J (Language specific/secure coding) ,ISSECO(International Secure Software Engineering Council)における CSSE (Entry level education program with certificate of completion given by International Software Quality Institute (iSQI))など,多くのソフトウ
ェア開発に関する規格類が存在する. JTC 1/SC 27 としては,上記の規格類の動向も視野
に入れながら,ITU-T などで進行するスマートフォン
関連規格と連携し,特に基盤的,及び共通的に活用で
きる技術部分を抽出し,その規格化を JTC 1/SC 27 に
おいて遂行することが も現実的であると考える.こ
のような連携活動においては,ITU-T との共同文書化
なども視野に入れながら進めることが重要である. 一方,JTC 1/SC 27では,これまでシステム認証(CC),ISMS(Information Security Management Systems)認証
の規格化を進めてきた.スマートフォンのアプリの認
証などのスキームを作り上げる場合は,これまでの
JTC 1/SC 27 の経験が十分に活用できる部分でもある.
技術部分のみではなく,スマートフォン・アプリの
管理的側面(認証を含めた)の規格化として,JTC 1/SC 27 の経験が役に立つことも忘れてはならない. 参考文献 [1] 総務省公開資料,スマホからの利用者情報の送
信 http://www.soumu.go.jp/main_content/000143966.pdf [2] JSSEC, http://www.jssec.org/ [3] 竹森,他,“Android 携帯電話上での情報漏洩検
知”,IEICE, SICS2011 3B3-3, 2011 年 1 月. [4] 磯原,他,“セカンドアプリ内包型 Android マル
ウェアの検知”IPSJ, CSS2011 3B3-1, 2011 年 10 月. [5] 北島,“スマートフォン向け適正アプリの開発と
配信サイト”,IPSJ,会誌 Vol.53,2012 年 4 月
1
1..*
Organisation
1..*
Organisation
1..*
Business needs
1..*
Business needs
*..*
Business processes
*..*
Business processes
1..*
Technological Context
1..*
Technological Context
Level of trustLevel of trust
1..*People
ProcessTechnology
Information
Application
1..*People
ProcessTechnology
Information
People
ProcessTechnology
Information
Application
1..*
Business Context
1..*
Business ContextLegal Context
1..*
Legal Context
1..*
Critical
Critica
l
Critical
Hardware
Systems
SoftwareData
Hardware
Systems
SoftwareData
Critical
図 5 ISO/IEC 27034 の基本概念
<最近の国際会議から> ■ JTC 1/SWG-Directives 会議報告
主査 伊藤 智(独立行政法人産業技術総合研究所)
1. 開催場所:東京(日本)
2. 開催期間:2012-02-07/09
3. 参加国数/出席者数:7 カ国/27 名
議長(Karen Higginbottom,米),Secretary(Lisa Rajchel),独(2),米(4),仏(4),英(2),加(2),韓(1),日(8: 鈴木俊宏[日本オラクル],田島成起
[JBMIA],竜田敏男[情報セキュリティ大学院大学],
谷津行穗[日本 IBM],成井良久[ソニー],平野芳行,
木村敏子[ITSCJ],伊藤智),SC38(1),Ecma(1)
4. 議事内容
SWG on Directives の会合が東京で開催された.主な
審議事項は以下の通り. なお,SWG on DirectivesのRecommendationはN0329として発行されている. (1) JTC 1 Supplement への日本からの修正コメント
について
JTC 1 総会への寄書 N10875 で,持ち越しになって
いた 2.7.7 へのコメントについては修正意図の理解を
得て,「JTC 1 独自部分を削除し ISO/IEC Directives に従うように変更する」という内容について各国レビュ
ーを求めることとなった.→ Recommendation 1 (2) Parallel NP Ballot について
JTC 1 San Diego 総会の Resolution 38 で定められた
ように,NP の SC ballot に関する現行プロセスに NBからのコメントによる並行投票を追加するという変
更を検討することが SWG-D に下ろされた.これを受
けてアドホックを立ち上げて分析を進め,次回の
SWG-D ベルリン会合で検討することとなった.日本
からは谷津委員が対応.→ Recommendation 2 (3) Future and Practical Implementations of JTC
1 Merged Directives Document
マージするドキュメントのカバーページおよびヘ
ッダ・フッタについてコンセンサスが形成された. → Recommendation 3 (4) SWG-Accessibility から EDPDA へのインプット
SWG-A か ら EDPDA (Electronic Document Preparation, Distribution and Archiving) への accessible format に関する意見を得た.将来の JTC 1 ドキュメン
トの電子配布に関するガイダンスに反映していく. → Recommendation 4
(5) Letter Ballot on JTC 1 SD on EDPDA
EDPDA に関する修正版を JTC 1 の 3 ヶ月 Letter Ballot にかける.→ Recommendation 5 (6) PAS submitter と ARO status
PAS submitter が承認されたら ARO status を得るプ
ロセスをはじめることができる,ということを認める
か,JTC 1 の 3 ヶ月 Letter Ballot にかける. → Recommendation 6 (7) Normative Reference
SWGD N0296 でのコメントおよび会合での議論を
もとに,SD5 on Normative References を見直すアドホ
ックグループを設置.日本からは鈴木幹事が対応. → Recommendation 7 (8) RER の廃止
フランスから ARO があれば十分で,RER を廃止す
る案が提示された.SC 29 では過去に使用した実績が
あり,RER をなくすのは困ると反論したが,RER を
廃止する方向となった.移行期間を設けることと,
SC/WG が困らないようにすることが必要であり,
SC/WGに現在および最近RERを使ったかどうかを確
認する. 次回会合で,RER の使用状況の調査結果を踏まえ
て ARO に全面移行することの可否を問う. → Recommendation 7A (9) Fast Track と PAS のフローチャートについて
JTC 1 総会で当該フローチャートは JTC 1 supplement に入れることが承認された.ドイツにより,
フローチャートと Annex F におけるテキストとの整
合性をチェックしたドキュメントが提出された. テキストへの修正を反映した版を JTC 1 Supplement Annex F に入れ,JTC 1 letter ballot に回す.BRM をテ
レコンや電子的方法での開催も可能という変更も含
める. SC 23 から提出していた JTC 1 supplement F2.3 に対
する Editorial コメント(Stage 3 以前なら SC で合意す
れば Normal プロセスから Fast Track に変更できると
いう記載が JTC 1 Directives にあったものが
Supplement でなくなった.F2.3 に追加)に対しては,
必要性を認められなかった. JTC 1 Supplement Annex F については,検討すべき
点が多々残っており,アドホックを立ち上げて検討す
ることとなった.日本からは鈴木幹事が対応. → Recommendation 8, 9, 10 (10) 会議 fee に関する会計報告書のテンプレートに
ついて
UK から会計報告書の共通テンプレートを提案した.
JTC 1 letter ballot に回す.→ Recommendation 11
(11) Negative Votes に関する問題
カナダが,negative なコメントが無視され,反映さ
れる方法がないことを問題として提起した.しかし,
現行の方法で問題ないことが確認された. → Recommendation 12 (12) SC レベルでの SD の収集と分類を引き続き行う.
→ Recommendation 13 (13) 次回以降
次回は,2012-09-05/07 ベルリン(独),寄書提出(8/1),ドラフトアジェンダ(8/7),アジェンダへのコメント
(8/17),ファイナルアジェンダ(8/22) 2013-03-18/20 ニューヨーク(米) 2013-08-28/30 ロンドン(英) これまで 2 月に開催していたが,JTC 1 総会からの
アクションに対応するのに期間が必要とのことで 3月開催に変更となった. ■ JTC 1/SWG on Planning 会議報告
規格役員 楠 正憲(日本マイクロソフト(株))
1. 開催場所: 機械振興会館,東京(日)
2. 開催期間: 2012 -02-10
3. 参加国数/出席者数: 6 か国/20 名
JTC 1 Chair(Karen Higginbottom,米),JTC 1 Secretary(Lisa Rajchel,米),米(5),仏(3),英(1),加(2),韓(3),日(4: 山下経[SC23Chair,日立],木村敏
子[SC23Secretary, ITSCJ],伊藤智[産総研],楠正憲)
4. 議事内容(要旨)
(1) インキュベータグループ
2011 年度 JTC 1 総会の議論を受けて,インキュベー
タグループの運用方法として,グループの候補を出し
ていくことが SWG-P の役割であると確認された.ま
た,デジタル保存のインキュベータグループが設立さ
れ,その親グループは SC 23 に割り当てられたが,SC 23 議長 山下氏から親グループとして SC 23 が果たす
べき役割に対する懸念が提示され,議論された.
Incubator 要求を前に進めるための可能性を議論し,親
グループの役割を JTC 1 に割り当てる試案を出した. (2) Environmental Scan 2012 の準備
2012 年度のサーベイ実施へ向けて Web ツールの活
用が検討されている.また JTC 1 関係者とのやりとり
に使うメーリングリストを JTC 1 セクレタリが運用
するよう勧告した. (3) Working programme of SWG-P
● モバイルアプリケーション
Dr. Lee(韓)から発表が行われ,Draft Report on
Mobile Applications の第 3 版・第 4 版に対するコメン
トが反映されていることが確認され,文書として JTC 1 から配布できる水準に達したとの合意が得られた,
ただし,配布の前に各国 NB からのインプットを募る
こととした.今後の対応は 3 月 6 日の電話会議で改め
て議論される. ● ソーシャルネットワーキング
Dr. Park(韓)が Draft Report on Social Networking の
進捗を説明し,彼の作業が完了したことが確認された.
11 月の JTC 1 総会で発表するための暫定的な線表に
ついて合意され,素案が 6 月の SWG on Planning の次
回会合で議論されることとなった. ● ユビキタスコンピューティング
Mr. Sangkeun Yoo(韓)を Draft Report on Ubiquitous Computing のエディタとして承認した. ● Web コラボレーション
韓 国 KATS か ら の コ メ ン ト を 受 け て Web Collaboration の 1 ページ文書を更新し,この文書をエ
ディタ募集に使うこととなった. ● Augmented Reality (AR)
Augmented Reality に関する Prof Zhang のレポート
に SC 29,SC 24 からの指摘が反映されておらず,改
めて SC 24 と SC 29 の AR と関係した活動を整理する
こととなった.両 SC とよく話すようエディタに依頼
し,SC4/WG9 コンビーナの Dr. G. Kim が SC 24 の観
点からチェックすることに合意した.
5. 次回会合
3 月 6 日に電話会議が行われた. ■ SC 35(User interface/ユーザインタフェース)
総会報告
SC 35 専門委員会
委員長 山本 喜一(慶應義塾大学)
1. 開催場所: 京都(日)
2. 開催期間: 2012-02-20/24
3. 参加国数/出席者数: 8 カ国/29(+2 Skype)名
議長(Yves Neuiville,仏),セクレタリ(Pilippe Magnabosco,仏),韓(8),英(1),スウェーデン(1),独(2),加(3),米(2+2),仏(2),日(8: 池田宏
明[千葉大 HoD],中尾好秀[JBMIA],関喜一[産
総研],中野義彦[JBMIA],野村成豊[日立],西山
勝夫[滋賀医科大],鈴木俊吾[経産省],大野克行
[JBMIA])
4. 審議概要:
プロジェクトの通常の進行計画以外の事項及び日
本が主体になって進めているプロジェクトについて
述べる. (1) 韓国が提案し日本が積極的に協力して進めるこ
とになった Project 30113 Gesture-based interface -- Navigation gestures common between mice, touch pads, touch screens, tablets and similar devices は,Part-1,2 を
CD に進める. (2) Concept DataBase (CDB) に代わる Online Browsing Platform (OBP) にアイコンデータベースを構築する
ことを公式に ISO 中央事務局に要請する.そのメンテ
ナンスに当たる Validation Team の設置決議の履行を
国際幹事に要請する.関連して,2007-12 以来稼動し
ているメンテナンス機能付アイコンデータベースの
デモ版は閉鎖する. (3) 日本提案の Project 17549 Guidelines on menu navigation with 4-direction devices の改正WDの確認を
2012-03-15 までに完了し,WG 1 及び WG 4 コンビー
ナに提出する.それを 2012-04-01 までに CD 投票に付
す. (4) 日本提案のボイスコマンド Principal voice commands -- Part 1: Framework and general guidance 及び Part 4: Management of spoken command registrationについては,第 4 部のタイトルを元に戻す(spoken command を voice command に).また,第 1 部と共に
2012-03-05までにWDのレビューを済ませ 2012-03-15までに CD 投票に付す. (5) TR には要求事項を含むべきではないという日本
意 見 に よ っ て , PDTR 20071-11 User interface component accessibility -- Part 11: Alternative text for images を DTS 20071-11 として投票に付す.また,DTR
11581-41 User interface icons -- Part 41: Data structure to be used by the ISO/IEC JTC1/SC35 icon database を再度,
DTS 11581-41 として投票に付す.
5. 今後の予定
2012-08-27/31 Paris(仏) 2013-02-18/22 Busan(韓) 2013-08-26/30 未定(加,予定)
6. その他
なお,2012-02-22 に開催された WG 1 + WG 4 + WG 5 + WG 6 合同会議の最後に,SC 35 議長から,この日
から参加した "Evaluations and Language Resources Distribution Agency"の CEO である Dr. Khalid Choukriが新議長候補であるとして紹介があった.現議長 Dr. Yves Neuville の議長としての参加は,次回のパリ会議
が最後となるであろうとのことであった. JTC 1/SC 17 の日本関係者,寄本義一氏(凸版印刷)
及び中澤明氏(日本電産サンキョー)を招待して,
ISO/IEC 12905, Enhanced Terminal Accessibility の概要
説明を受けた後,質疑応答が行われた.主な論点は,
ISO/IEC 12905 で 規 定 す る 個 人 特 性 ( Personal preferences)と個人要求(Personal needs)の相互関係
及び個人特性項目の幾つかが満たされなかった場合
の対応である.個人特性を特定なカードに記録して使
用及びデータ書込みや更新(追加・削除・変更)の局
面で,特定な機器の使用を強要するのではなく,例え
ば,(小型可般)USB メモリーを使用可能にするなど,
記録メディアや読書き機器に対する制約がないこと
が望ましいという要望が出された. 今回の国際会議は日本の招待によって京都市で開
催されたが,周到な事前準備と会議期間中のきめ細か
な配慮のもと,順調にまた成功裏に終了した.
∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪
<2012 年 6 月以降 国際会議開催スケジュール> JTC 1 2012-11-05/10 Jeju,韓国 SWG on Directives 2012-09-05/07 Berlin,Germany SWG-Planning 2012-06-21/22 Berlin,Germany SC 2 2012-10-26 Chiang Mai,Thailand SC 6 2012-09-21 Graz,Austria SC 7 2013-06-02/07 Montreal,Canada SC 17 2012-10 New Orleans, LA,US SC 22 2012-09-10/11 Geneva,Switzerland SC 23 2012-06-23 Lisbon,Portugal SC 24 2012-08-24 Brussels,Belgium
SC 25 2012-09-14 Geneva,Switzerland SC 27 2013-04-29/30 Sophia Antipolis,France SC 28 2012-06-18/27 London,UK SC 29 2012-07-21 Stockholm,Sweden SC 31 2012-06-08 Pittsburgh, PA,US SC 32 2012-06-04, 08 Berlin,Germany SC 34 2012-06-25, 29 Brasilia,Brazil SC 35 2012-08-27/31 Paris,France SC 36 2012-09-15/16 Busan,韓国 SC 37 2012-07-16/17 Paris,France SC 38 2012-09-24/28 Stockholm,Sweden
<JIS 公示> JIS X 0160 ソフトウェアライフサイクルプロセス
ソフトウェアライフサイクルプロセス JIS 改正原案作成委員会
委員長 竹下 亨(元中部大学),幹事 山形 薫(三菱電機(株))
この規格の元となる国際規格 ISO/IEC 12207 は,ソ
フトウェアの開発の進め方(process)についての標準
を定めたもので,1995 年に第 1 版,その追補が 2002年及び 2004 年に,そして 2008 年に第 2 版が発行され
たものである. この規格は,規格本文だけで 123 ページもあるが,
ソフトウェア開発の基準となる規格であり,あらゆる
ソフトウェアに関係するものであるので,内容につい
ては十分に検討・審議し,国内の事情(IEEE に関連
する附属書(参考)は参照が難しく,不要と判断し削
除した)に適用可能なものにした.当初から 2 年間で
JIS 化することで計画し(初年度は JSA/INSTAC,2 年
目は情報規格調査会にて委員会を設置),関連する規
格開発に携わっている方々(SC 7/WG 7:この規格の
開発元,SC 7/WG 6:ソフトウェア製品の品質評価,
SC 7/WG 10:プロセスアセスメント規格,SC 7/WG 23:システム品質)に委員会に参画していただき,広
く衆知を集めて JIS を作成した. JIS 化作業を進めるにあたっては,時間の短縮及び
翻訳のばらつきを排除するため,竹下委員長が全文翻
訳したものをベースに各
人がコメントを作成し,そ
のコメントに対応すると
いう進め方を採用した.さ
らに,記述内容の間違い,
齟齬の確認のため委員全
員が通読を行った.それに
よって,実質 1 年半の期間
で JIS 原案を作成するこ
とができた. この規格は,図 1 に示す
各プロセスから構成され
ており,ウォーターフォー
ル型,漸増開発型,進展的
開発型,スパイラル型など
のライフサイクルモデ
ル・方法論のいずれを採用
していても,ほとんどのソ
フトウェア開発に適用で
きる規格であり,
中規模以上のソフトウェア開発のプロジェクトで適
用されることが望ましい.そのままの形で適用するに
はモデルが大きすぎるなどの特別な事情がある場合
には,修整プロセス(Tailoring Process)を適用して,
規格を修整するやり方も提供されている.また,この
規格は,ソフトウェア製品の取得者,供給者及び他の
利害関係者の間で情報伝達が円滑に行えるように、ラ
イフサイクルにおけるプロセスを定義しており,対象
者は,取得者,供給者,開発者,運用者,保守者,管
理者,品質保証管理者及び利用者で,二者間の契約で
使用することを想定している(両者が同一組織内の場
合も適用可).したがって,大企業から中小企業にい
たるまで,ソフトウェア業界,一般企業の情報システ
ム部門,更には組込みソフトウェア分野などで利用可
能である. この規格が普及することにより,ソフトウェア開発
の生産性が向上するだけでなく,品質の向上も期待で
きる.
ソフトウェア廃棄プロセス(6.4.11)
ソフトウェア保守プロセス(6.4.10)
ソフトウェア運用プロセス(6.4.9)
ソフトウェア受入れ支援プロセス(6.4.8)
ソフトウェア導入プロセス(6.4.7)
システム適格性確認テストプロセス(6.4.6)
システム結合プロセス(6.4.5)
実装プロセス(6.4.4)
システム方式設計プロセス(6.4.3)
システム要求分析プロセス(6.4.2)
利害関係者要求定義プロセス(6.4.1)
テクニカルプロセス
測定プロセス(6.3.7)
情報管理プロセス(6.3.6)
構成管理プロセス(6.3.5)
リスク管理プロセス(6.3.4)
意思決定プロセス(6.3.3)
プロジェクトアセスメント及び制御プロセス(6.3.2)
プロジェクト計画プロセス(6.3.1)
プロジェクトプロセス
品質管理プロセス(6.2.5)
人的資源管理プロセス(6.2.4)
プロジェクトポートフォリオ
管理プロセス(6.2.3)
インフラストラクチャ管理プロセス(6.2.2)
ライフサイクルモデル管理プロセス(6.2.1)
組織プロジェクトイネーブリングプロセス
供給プロセス(6.1.2)
取得プロセス(6.1.1)
合意プロセス
再利用資産管理プロセス(7.3.2)
ドメイン(領域)エンジニアリングプロセス
(7.3.1)
再利用プログラム管理プロセス(7.3.3)
ソフトウェア再利用プロセス
ソフトウェア問題解決管理プロセス(7.2.8)
ソフトウェア監査プロセス(7.2.7)
ソフトウェアレビュープロセス(7.2.6)
ソフトウェア妥当性確認プロセス(7.2.5)
ソフトウェア検証プロセス(7.2.4)
ソフトウェア品質保証プロセス(7.2.3)
ソフトウェア構成管理プロセス(7.2.2)
ソフトウェア文書化管理プロセス(7.2.1)
ソフトウェア支援プロセス
ソフトウェア適格性確認テストプロセス(7.1.7)
ソフトウェア結合プロセス(7.1.6)
ソフトウェア構築プロセス(7.1.5)
ソフトウェア詳細設計プロセス(7.1.4)
ソフトウェア方式設計プロセス(7.1.3)
ソフトウェア要求事項分析プロセス(7.1.2)
ソフトウェア実装プロセス
ソフトウェア実装プロセス(7.1.1)
システム関連プロセス ソフトウェア固有プロセス
図 1 ソフトウェアライフサイクルのプロセス
<JIS 公示> JIS X 25001 計画及び管理,JIS X 25030 品質要求事項
ソフトウェア製品の品質要求及び評価に関する JIS 原案作成委員会
委員長 東 基衞(早稲田大学),幹事 山形 薫(三菱電機(株))
SQuaRE シリーズの一環として,2010 年度に JIS 化
を行った JIS X 25001 及び JIS X 25030 が 2012 年 3 月
に発行されたので,概略を説明する. SQuaRE シリーズは,図 1 に示すように,全体で五
つの部門(Division)及びその後追加された拡張
(Extension)部門から構成されている.これは,次の
考えに基づいて成り立っている. ・ ソフトウェアの品質を向上するためには,品質
要求を品質モデル及び品質測定量を用いて的確
に定義する必要がある. ・ 同一の品質モデル及び品質測定量を使用して,適
切な段階(例えば,開発途中のデザインレビュー,
試験等)で,“ソフトウェア製品が品
質要求をどれだけ満足しているか”
を評価する必要がある. 各部門の規格の名称及び発行・審
議状況を表 1 に示す.(規格は,JIS化が終了した規格は日本語で,IS 発
行済みで JIS 化がまだのものは英語
で名称を,審議中の規格はその審議
状況を記載している.) (1)JIS X 25001:計画及び管理 ソフトウェア製品の評価技術の管
理及び支援を規定する規格で,計画
の例を含む.対象者は,品質保証部
署の人の他に評価技術利用及び開発
組織の管理者,品質要求事項の仕様
化に責任を負う人等が考えられる. (2)JIS X 25030:品質要求事項 品質モデル及び品質測定法を用いて
品質要求を厳密に定義するための,
品質要求の概念,要求事項及び推奨
事項を示す.この規格は,ソフトウ
ェアの開発者,利用者,それらの管
理者等,ソフトウェア製品要求に関
するほとんどすべての利害関係者が
対象である.
SQuaREシリーズ
部門(Division)
2500n:品質管理部門 25000 SQuaREの指針 2010年JIS発行済み
25001 計画及び管理 2012年3月JIS発行済み
2501n:品質モデル部門 25010 システム及びソフトウェア品質モデル 2012年JIS発行予定
25012 データ品質モデル 2012年JIS発行予定
2502n:品質測定部門 25020Measurement reference model andguide
2007年IS発行済み
25021 Quality measure elements DIS
25022 Measurement of quality in use NWI/WD
25023Measurement of system and softwareproduct quality (external and internalquality measures)
NWI/WD
25024 Measurement of data quality NWI/WD
2503n:品質要求部門 25030 品質要求事項 2012年3月JIS発行済み
2504n:品質評価部門 25040 Evaluation reference model and guide 2011年IS発行済み
25041Evaluation guide for developers,acquirers and evaluators
FDIS
25045 Evaluation module for fecoverability 2010年IS発行済み
25051商用既製(COTS)ソフトウェア製品に対する品質要求事項及び試験に対する指示
2011年JIS発行済み
2505n~9n:SQuaRE拡張部門 25060General framework for usability-related information
2010年TR発行済み
25062Common Industry Format (CIF) forusability test reports
2006年IS発行済み
25063 Context of use descriptions DIS
25064 User needs report DIS
発行,審議状況
うち2506n:SQuaRE Common Industry Format (CIF) for usability: SC 7/WG 28案件
規格番号及び規格名称
表 1 SQuaRE シリーズの名称及び発行・審議
ISO/IEC 25050~ISO/IEC 25099 SQuaRE 拡張部門
ISO/IEC 2503n 品質要求部門
ISO/IEC 2501n 品質モデル部門 ISO/IEC 2500n 品質管理部門
ISO/IE C 2502n 品質測定部門
ISO/IEC 2504n 品質評価部門
図 1 SQuaRE の構成
<わが社の標準化への取り組み> 株式会社東芝
規格役員 平山 浩司(技術企画室)
1. はじめに
複合電機メーカーを目指す当社グループは,テレビ
やパソコンなどに代表されるデジタルプロダクツ事
業,NAND 型フラッシュメモリやハードディスク装置
などに代表される電子デバイス事業,発電システムや
環境システムなどに代表される社会インフラ事業,白
物家電や LED 照明に代表される家庭電器事業と,大
きく 4 つの事業分野でビジネスを展開している.当社
グループの標準化への取り組みについて見た場合,そ
れぞれの事業分野で独自に活動する部分も多く,全体
の取り組みとして話すことには難しさがある. そこで,ここでは社会インフラ事業分野であるスマ
ートグリッド関連に絞って,当社グループが標準化に
対してどの様な対応を行っているか述べることにし
たい. 2. スマートグリッドについて
再生可能エネルギーの普及や送配電網の効率的運
用を目指すシステムであるスマートグリッドは,米国
での 2007 年エネルギー自給・安全保障法(EISA2007)の制定や大統領政策をきっかけにして,世界的に注目
が高まってきている.国内においては,経済産業省が
“次世代エネルギーシステムに係る国際標準化に関
する研究会”での検討を元に,2010 年 1 月に「スマ
ートグリッドに関する国際標準化ロードマップ」を発
表し,標準化するべき 26 項目の重要アイテムを挙げ
た. デマンドレスポンスなどのスマートグリッドなら
ではの新規サービスの実現には,ICT(情報通信技術)
を高度に利用し,太陽光や風力などの発電システムを
組み合わせる分散電源技術や周波数安定のための電
力系統技術,AMI(Advanced Metering Infrastructure)や BEMS(Building Energy Management System),HEMS(Home Energy Management System)といった需要系
技術など,新たに導入される幅広い先端技術を相互連
携させながら運用する必要があるが,これら技術の相
互運用性を確保するためには標準化が極めて重要に
なる.
3. スマートグリッドの標準化と当社グループの標準
化への取り組み
スマートグリッドの標準化は欧米を中心に世界中
で取り組みが行われている.米国では NIST(商務省
国立標準技術研究所)が中心となり,スマートグリッ
ドに関連する機器の相互運用性を確保するためのロ
ードマップを策定し全世界に公開しており,その中で
提示された概念参照モデルは,米国だけでなく全世界
の標準化活動で参照されている.EU(欧州連合)で
は,CEN(欧州標準化委員会),CENELEC(欧州電気
標準化委員会),および ETSI(欧州電気通信標準化機
構)による標準策定が進んでいる. 国際標準化機関での動きも活発になってきており,
IEC の SMB 配下にある SG3 がロードマップを作成し
て,それに対応する TC で標準文書の策定が始まって
いる. その様な中で当社グループが活動の場の一つとし
ているのが,スマートグリッド関連の国際標準化の中
で特に注目を集めている IEC TC57(電力システム管
理及び関連する情報交換)である.従来,TC57 では
電力系統や変電所内での制御用通信の国際標準を策
定していたが,最近では,スマートグリッドの実現に
向け,標準適用範囲の拡大や,標準の拡張が進められ
ている.ここでの標準化作業についても,前述の NISTが作成した概念参照モデルを参照しながら進められ
ている.スマートグリッドは極めて複雑な“System of Systems”で,標準化を必要とする領域は多岐に渡り,
それら既存の標準との整合性を保ちながら新たに導
入される技術の標準化を進める必要がある.当社グル
ープとしても,それらに留意しながらスマートグリッ
ドのビジネスを進める上で標準化が必要であると判
断する領域において,国内委員会を通じて多くのエキ
スパートを派遣し,積極的に標準化活動に取り組んで
いる. 最近では,広域系統監視保護制御の標準化に際して,
日本版システムの Use Case(応用事例)を提示し,通
信要件や通信方式などの標準案の提案を行う日本の
活動に貢献した. 一方,自らの持つ技術などを直接標準化するための
活動も積極的に行っている.スマートグリッドでは,
ライフライン維持の観点から,種々のサイバー攻撃に
よってサービスが妨害されたり,最悪の場合に機能が
停止してしまうといった重大な事態を招くことの無
いよう,あらかじめ対策を立てサイバーセキュリティ
を確保する必要がある.相互運用性を確保してスマー
トグリッドならではの新しいサービスを実現するた
めには,通信プロトコルやデータモデルの標準化に加
え,このサイバーセキュリティを確保するための方式
も標準化する必要がある.各種標準化団体では優先度
の高い項目としてサイバーセキュリティの標準化に
取り組んでいるが,当社グループは,複数の標準化団
体でスマートグリッド向けサイバーセキュリティ技
術の標準化に参画している.最近では,端末(スマー
トメータ)とサーバ(メータデータ管理サーバ)間で
セキュアな通信を行うために必要となる AMSOTM (Advanced Meter Sign-On)™ 技術(一つのマスタ鍵か
ら多数の秘密鍵を導出し,導出した秘密鍵をアプリケ
ーションごとの個別鍵として使用することを可能に
する技術で,オープン環境でのサイバーセキュリティ
確保を低負荷で可能にする.)を,IEEE(電気電子技
術者協会)で策定されたスマートグリッドアーキテク
チャに関する標準に組み込むことができた.
4. 終わりに
今回紹介した内容は,当社グループが取り組んでい
る標準化活動のごく一部でしかなく,スマートグリッ
ドに限らず多くの分野で標準化活動を行っている. 当社グループは,これからも引続き様々な標準化活動
に取り組み,より良い社会の実現に向けて標準化に貢
献してゆく.
∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪
<国際規格開発賞の表彰> 国際規格開発賞は,当会に所属する Project Editor または Project Co-Editorの貢献に対して授与されるものです.
受賞者は表彰委員会で審議決定し,受賞対象の規格が発行された後に授与されます.
2012 年 3 月の受賞者 高橋 光裕 ((独)情報処理推進機構)
ISO/IEC 29155-1 (First Edition) Systems and software engineering -- Information technology project performance benchmarking framework -- Part 1: Concepts and definitions (SC 7,2011-12-01 発行)
竹田 栄作 (一般財団法人日本情報経済社
会推進協会)
ISO/IEC 27006 (Second Edition) Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems (SC 27,2011-12-01 発行)
宮崎 邦彦 ((株)日立製作所) 大塚 玲 ((独)産業技術総合研究所) 松尾 真一郎 ((独)情報通信研究機構)
ISO/IEC 29128 (First Edition) Information technology -- Security techniques -- Verification of cryptographic protocols (SC 27,2011-12-15 発行)
2012 年 5 月の受賞者 木下 佳樹 ((独)産業技術総合研究所)
ISO/IEC 15026-2 (Second Edition) Systems and software engineering -- Systems and software assurance -- Part 2: Assurance case (SC 7,2011-02-15 発行)
江崎 和博(法政大) ISO/IEC 25040 (First Edition) Systems and software engineering -- Systems and software Quality Requirements and Evaluation (SQuaRE) -- Evaluation process (SC 7,2011-03-01 発行)
赤平 信夫(パナソニック(株)) 菅谷 寿鴻(電気通信大)
ISO/IEC 16963 (First Edition) Information technology -- Digitally recorded media for information interchange and storage -- Test method for the estimation of lifetime of optical media for long-term data storage (SC 23,2011-10-01 発行)
高井 利憲 ((独)産業技術総合研究所)
ISO/IEC 15026-3 (First Edition) Systems and software engineering -- Systems and software assurance -- Part 3: System integrity levels (SC 7,2011-12-15 発行)
<2012 年度 標準化功績賞および貢献賞の表彰> 標準化功績賞は,長年にわたり情報規格調査会委員および所属委員会委員として,多大な功績があった方々
の中から選ばれます.また,標準化貢献賞は,最近の数年間において,所属委員会委員として,顕著な貢献の
あった方々の中から選ばれます. なお,本学会情報規格調査会規程により,2012 年度は 2012 年 5 月 21 日に開催された第 27 回規格総会で,受
賞者に表彰状が授与されました.
標準化功績賞
瀬戸 洋一 氏(産業技術大学院大学)
瀬戸氏は,2002 年の SC 37 専門委員会設立当初から現在までの長きにわたり委員長を務
められ,国内委員会のとりまとめと日本代表団長としてバイオメトリクス分野の国際標準
化に多大な功績を残されました. 仲林 清 氏(千葉工業大)
仲林氏は,2002 年の SC 36 専門委員会設立当初から現在までの長きにわたり委員長を務
められ,国内委員会のとりまとめと日本代表団長として e ラーニング分野の国際標準化に
多大な功績を残されました. 山本 和幸 氏(パナソニック(株))
山本氏は,2001 年から 2011 年までの長きにわたり SC 25 専門委員会委員長を務められ,
国内委員会のとりまとめと日本代表団長として,欧州優位の中でエコーネットをはじめと
する情報機器間の相互接続に関する我が国の戦略的な国際標準化に多大な功績をのこされ
ました.この成果は今後のスマートグリッド関連の審議にも活かされてきます.
標準化貢献賞
相羽 律子 氏((株)日立製作所)
相羽氏は,2005 年から現在まで SC 27/WG 1 小委員
会に参加され,2006 年からは国際会議に積極的に参
加され情報セキュリティマネジメントシステム関連
の規格化に尽力されてきました.特に ISO/IEC 27003(ISMS インプリメンテーション・ガイダンス)及び
27010(セクター間及び組織間コミュニケーションの
情報セキュリティマネジメント)については,日本の
プロジェクト責任者として国内意見のとりまとめ各
国とリエゾン組織を含む国際対応に貢献されました.
岩元 浩太 氏(日本電気(株))
岩元氏は,2009 年から現在まで SC 29/WG 11/ SYSTEMS/MPEG-7 SG の委員としてメディア検索の
枠組みの標準化活動に尽力されてきました.また,
ISO/IEC 15938 のパート 3 を始めとする 6 個のパート
のプロジェクトエディタを歴任されその国際規格化
を活発に牽引されました.
植野 嘉章 氏(パナソニック(株))
植野氏は,1997 年から現在までの長きにわたり SC 25/WG 3 小委員会の委員ならびに幹事として,委員会
を牽引し国際標準化の審議に尽力されてきました.国
際会議にも多数出席し,ISO/IEC 11801(構内配線規
格)をはじめとして多くのデータ通信向け汎用構内配
線システムの国際規格化に大きな貢献をされていま
す. 小林 正幸 氏(三菱電機(株))
小林氏は,2002 年から現在までの長きにわたり SC 7/WG 10小委員会委員及び 2007年からは幹事として,
プロセスアセスメントに関する規格全ての審議に積
極に参加され,日本意見の集約と文書の取りまとめや
国際会議期間中は会議出席委員への後方支援など多
大な貢献をされてきました. 近藤 潤一 氏(独立行政法人情報処理推進機構)
近藤氏は,2006 年から現在まで SC 27/WG 3 小委員
会に参加され,同年より国際会議に積極的に参加され
セキュリティ評価技術の審議に貢献されてきました.
また,ISO/IEC 19790(暗号モジュールのセキュリテ
ィ要求事項)および 24759(暗号モジュールの試験要
件)のプロジェクトコエディタとして国際規格化に大
きな貢献をされました. 坂本 健一 氏((株)NTT データ)
坂本氏は,2000 年から現在までの長きにわたり SC 7/WG 6 小委員会委員として,日本が提唱しているソ
フトウェア製品・システムの品質の次世代規格
ISO/IEC 25000 SQuaRE シリーズの制定及び日本意見
の反映に貢献されてきました.また,ISO/IEC 25022(利用時の品質測定)のプロジェクトエディタを引き
受けられ国際規格化に多大な貢献を続けてこられま
した.
高橋 快昇 氏(富士通(株))
高橋氏は,2006 年の SC 7/WG 21 小委員会設立当初
より主査として,ソフトウェア資産管理プロセスに関
する情報技術の標準化活動に尽力されてきました.特
に ISO/IEC 19770(ソフトウェア資産管理)シリーズ
の制定・改訂にあたり国内での審議運営に中心的な役
割を果たし国際標準化に多大な貢献をされてきまし
た. 中村 健一 氏(パナソニック(株))
中村氏は,2008 年から現在まで SC 6/WG 1 小委員
会委員として OSI 物理層及びデータリンク層の標準
化活動に尽力され,2010 年からは ISO/IEC 22536(NFCの RF 試験規格)のプロジェクトエディタとして国際
規格化に活躍されてきました.特に SC 17 策定の非接
触 ICカードインタフェース規格とのNFC調和作業に
おいてはその提案が調和規格の中核仕様となる等多
大の技術的貢献をされました. 浜 壮一 氏((株)富士通研究所)
浜氏は,2005 年から SC 37/WG 3 小委員会委員及び
幹事として,さらに 2011 年からは SC 37 専門委員会
の幹事として組織運営に尽力されてきました.また,
2007 年からはバイオメトリックデータ交換に関する
規格の ISO/IEC 19794 パート 9 等のプロジェクトエデ
ィタ及び ISO/IEC 29109 パート 9 のプロジェクトコエ
ディタとして国際規格化に多大な貢献をされてこら
れました. 原 潤一氏((株)リコー)
原氏は,2003 年から現在まで SC 29/WG 1 並びに
SC 29/WG 11 VIDEO 小委員会の委員を務められ,多
くの国際会議への参加を通して動画像符号化の標準
化に尽力されてきました.また,JPEG 2000 のパート
14 及びパート 6/追補 1 についてはプロジェクトエデ
ィタとして規格開発と国内意見のとりまとめに努力
され多大なる貢献を果されました.
<会員のページ:横河電機株式会社>
武部 達明(IA-MK 本部 事業企画部 テクノロジ MK 室)
参加委員会:SC 22 専門委員会,SC 27/WG 3 小委員会,SC 27/WG 4 小委員会
横河電機は,計測器の製造・販売会社として 1915年に創業しました.現在の取り扱い製品は,大まかに
言うと産業分野向けの計測器,制御機器,制御システ
ム,それらを用いたソリューションです. 主に,制御事業(売上高 80%),計測機器事業(売
上高 11%)を大きなビジネスの柱として,国内従業
員数 4,700 名,国内関連会社 20 社 4,600 名,海外関係
会社 70 社 10,000 名,連結従業員数 19,000 名を擁し,
売上高は 3,347 億円(2011 年度)となっています. 制御事業では,石油・ガス,化学,鉄鋼,紙パルプ,
電力,薬品,食品といった産業分野での生産設備の制
御・運転監視を行う分散形制御システムを提供してい
ます.これらの工場では,連続あるいはバッチの生産
工程(プロセス)を組んでおり,生産計画にあわせて
プロセスを最適にコントロールするのが制御システ
ムの役割になります.具体的には,プロセス状態の物
理量を温度,圧力,液体の流量,成分濃度,pH など
のセンサで測定し,その状態を維持または次のステッ
プに進めるために,バルブの開閉や開度の変更,スイ
ッチの ON/OFF といった動作を繰り返し行います.セ
ンサで測定した物理量を基にアクチュエータの動作
を決定するのがコントローラで,人が監視・操作する
ためのインタフェースとともに制御システムを構成
します.24 時間,365 日,止まることなく生産が行わ
れるため,制御システムには高い信頼性(品質・精度・
堅牢性)が求められます.また,工場での生産現場で
扱われているものの性質・状態(高温・高圧・腐食性
など)を考慮すると,安全性も求められます.工場の
経営がリアルタイムで管理できるように,生産状態の
リアルタイムの把握も要件になります. 計測機器事業では,電力,電圧,電流測定,光の波
形測定,スペクトラム分析を行うアナライザなどを提
供しています. 他の事業として,ライフサイエンス分野向けに,生
きた細胞の動きをリアルタイムに観察できる共焦点
スキャナや自動顕微鏡,各種産業向けのダイレクト・
ドライブ・モータ,航空機向けのフラットパネルディ
スプレイなども提供しています. 「YOKOGAWA は計測と制御と情報をテーマにより
豊かな人間社会の実現に貢献する YOKOGAWA 人は
良き市民であり勇気を持った開拓者であれ」という企
業理念のもと,横河電機のビジネスは創業時の計測か
ら,制御,情報へと広がりました.
製品も単品からシステムへ,ハードからソフトへ,
ソフトからソリューションへと進化を遂げています. 製品には,規格が求められます.品質の基準,安全
性の基準,ライフサイクルサポートが求められます.
環境への配慮,セキュリティも対象となります. 市場は,国内から海外まで広がってきました.現在
は,海外売上高が国内売上高より多くなっています.
考え方・文化の違う市場への販売時には,仕様,品質,
安全性,セキュリティについて,根拠のある説明が求
められます.根拠の基準として,説得力を持つものが
「標準」ではないでしょうか? なぜなら「標準」とは,提案,ドラフトと,各国エ
キスパートの叡智で創られ,審議・投票を経て承認さ
れたものだからです. 業界標準,市場標準,ローカル標準,国際標準とあ
りますが,世界の市場を考えたとき,国際標準の理解
は欠かせません.製品の企画段階から「標準」の考慮
が必要です.市場での要求を実現する方法がいくつも
あるなら,規格化されたものが選ばれるでしょう.淘
汰された国際標準には説得力があります.「標準」作
成には,ベンダ,ユーザ,研究者としてエキスパート
が参加しているので,それぞれの立場での要件が吟味
されているからです.市場での影響力ゆえ,参加組織
から「標準」にいろいろなアプローチがされるのも事
実だと思います.このため横河電機では,国際標準を
ビジネス戦略の中に位置づけています. 標準化に期待することは,製品が世界市場に受け入
れられる下地を提供すること.提案されるものに参加
する機会をえること.日本独自のものがあるとすれば,
それが世界標準となること.特許・知的財産との折り
合いをつけること.標準化活動の中での人脈を作るこ
と.議論の中で技術・標準の大きな方向性を見据える
こと.製品ライフサイクル,プロセス,管理のベスト
プラクティスが揃うこと.利用しやすいこと,役にた
つことなどでしょうか. 標準を作るときの労力,時間,工数,資金を考える
と,標準化作業への理解を得るのは難しいのですが,
標準の重要性から,国際標準への参加は継続したいと
考えています.
<声のページ>
クラウド技術標準化の在り方
後藤 厚宏(情報セキュリティ大学院大学 教授,グ
ローバルクラウド基盤連携技術フォーラム 副会長)
いわゆるバズワードとして生まれた「クラウド」は,
その技術的な側面を考えれば,IT システム全体に匹
敵する幅広い技術領域に関わるものと言っても過言
ではない.正に技術の集合体である.そのため,多く
の人が「クラウドの標準化」という言い方に疑問をも
つのも自然な反応と言える. 2009 年頃,オバマ政権による「米国連邦政府 IT シ
ステムのクラウド化」宣言に呼応する形で,多くの既
存・新規のクラウド関連フォーラムがクラウド標準化
のリーダーシップを競い始めた.DMTF (Distributed Management Task Force),OGF (Open Grid Forum),SNIA (Storage Networking Industry Association),CSA (Cloud Security Alliance) などは,それぞれの得意分野を中心
にクラウドの基本アーキテクチャ作りに貢献してい
る.これらの動きをまとめようと,2009 年 7 月には
主要な標準化策定団体が協力してクラウドの標準化
活 動 に 取 り 組 む 円 卓 会 議 ( Cloud Standards Coordination)が発足したことは,クラウド標準化の
特徴を良く表している. 2011 年ころからは,「クラウド標準化」が多種多様
な技術要素を含むこと,また,単独では集合体全体と
しての標準化の推進が難しいという認識が広まり,
「競合」から「協調」へと変化しだしている.昨年(2011年)の JTC 1/SC 38と ITU-T FG-Cloudの合同会合,2012年から予定されている ISO と ITU-T との積極的なリ
エゾンもその一つである.それぞれの標準化団体やそ
の参加者に,個々のポリティクスに影響された発言や
行動があるのは仕方無いとして,ポリティクスが無か
ったとしても,背景知識や活動履歴の違いにより,議
論のベースとなるコンセプトの違いが存在するのも
事実である.そのため,クラウドの標準化を進めるた
めには,関連する標準化団体間との緊密な情報共有と
根気強い議論が必須である. 2009 年 7 月に,クラウド間の連携技術開発とその
グローバル標準化の推進を目指す“グローバルクラウ
ド基盤連携技術フォーラム(GICTF Global Inter-Cloud Technology Forum)”活動がスタートして以来,私が大
切にしている「方針」は次の二つである. 1. 自らは標準化団体にならず,また,自らは「15
番目の標準(http://xkcd.com/927/)」を作りださず 2. 新たに求められる“インタークラウド”の技術開
発と標準化に貢献する
今しばらく,この方針は大切にしなければと思う. 改めて米国連邦政府の NIST (National Institute of Standards and Technology) や GSA (U.S. General Services Administration) の動きをみると,ストレート
な行動戦略に敬意を表したくなる.当初の「クラウド
化宣言」は連邦政府としての情報処理システムコスト
の削減のためであり,その後の SAJACC (Standards Acceleration to Jumpstart Adoption of Cloud Computing) は,クラウドの国際技術標準化の進展前に,「セキュ
リティ」,「相互運用性」,「ポータビリティ」に関して,
ユースケース,クラウドのスペックやインタフェース
のテスト,実装リファレンスを,収集してポータルに
公開する活動である.また,FedRAMP (Federal Risk and Authorization Management Program) は,クラウド
サービスの調達時のセキュリティ要件を示し,連邦政
府の承認・認可を与えるプログラムであり,個々の政
府機関が個別にクラウドサービスを審査する手間を
省くための共通の認定プログラムである.米国政府は,
クラウドの国際標準化を待って「調達」するのではな
く,参照すべき標準に相当するものを自ら作りだし,
自身の調達に活用することを先行させている.その活
動と並行して,クラウドやセキュリティの技術主幹で
あるNISTは,自身の基準や仕様を「国際標準」と
して広く提言している.多少無理がある喩えであるが
「啼かせてしまえホトトギス」の行動指針と言える. 米国政府の情報システム関連の支出総額は,IT ダ
ッシュボード(http://www.itdashboard.gov/)によると
国防総省など全省庁の合計で年間 788 億ドル(約 6,3兆円)規模と巨額であるとはいえ,当然,新しいクラ
ウド技術が占める割合は限られる.調達に対応しよう
とするベンダー各社にとって,SAJACC や FedRAMPに対応する技術開発投資は小さくないため,米国政府
の調達だけでは十分な調達規模とは言えない.ただし,
「先行」していることにより,その技術開発成果を広
く世界に展開するチャンスがあるため,米国政府の調
達戦略に対応するインセンティブを持つことができ
る.つまり,技術標準化において「先行」することに
より,米国政府としては,調達規模が大きくなくても,
技術要件を積極的に提示でき,ベンダー側も対応する
価値がでてくる. 欧州諸国や日本は,まず「国際標準」を尊重しよう
とする.ただし,米国政府などの動きをみて,昨年
10 月の EU での会合では「自分たち(欧州の政府機関)
は,クラウドの標準化を待っていて良いのだろう
か?」という発言もあった.わずかながらでも標準化
に関わる一人として何を大切にすべきかを考えなけ
ればと思う.
<解説: 軽量暗号技術の最新動向>
SC 27/WG 2 小委員会
委員 盛合 志帆(独立行政法人情報通信研究機構)
1. はじめに
さまざまな分野において暗号技術の利用が進む中,
ハードウェア規模やメモリ等のリソースの限られた
デバイスや省電力が求められる機器に適した暗号技
術-軽量暗号技術(Lightweight Cryptography)が注目
されている.低コストで低消費電力動作可能な軽量暗
号技術は,スマートカードや RFID タグ,センサーネ
ットワーク,医療機器をはじめさまざまな用途での利
用が期待されている.本稿では,軽量暗号の技術動向
および ISO/IEC JTC 1/SC 27/WG 2 で進めてきた国際
規格化状況について紹介する. 人々の安心かつ快適で便利な生活を支える上で,情
報セキュリティおよびプライバシを守るニーズはま
すます高まりつつある.このようにあらゆるシーンで
情報セキュリティ・暗号技術が求められるようになる
につれ,RFID タグやセンサーなど極めてリソースが
限られたデバイスや小型機器にも実装可能で,かつ十
分な安全性をもつ暗号技術が必要になってきた.この
ような小型実装可能な暗号技術は,コストや消費電力
の観点からも利点が多い.例えば,バッテリ駆動の体
内埋め込み型の医療機器などでは,低消費電力でバッ
テリが長持ちするため,取り換え回数が少なくてすむ
ことになり,利用者の負担が軽減され,大きなメリッ
トになる. 2. 国際規格化の背景
2.1 研究動向
暗号技術は年々進歩し続けているが,今世紀に入っ
てからの新たなトレンドとして,上記に挙げたような
ニーズを受けた軽量暗号の研究が盛んになってきた.
特に,欧州委員会(European Commission) 第 6 - 7 次
研究フレームワーク(6th - 7th Framework Programme)で行われた欧州暗号研究ネットワーク ECRYPT-I(2004-2007),ECRYPT-II(2008-2011)にて研究が進
展した.これらの研究プロジェクトには,ベルギーの
Katholieke Universiteit Leuven,UK の Royal Holloway,University of London,フランスの France Telecome R&D,
オーストリアの Graz University of Technology などが
参加して牽引した.ECRYPT の活動として,2005 年
より RFID Security に関する Workshop が開催され,軽
量暗号に関する研究レポートが数多く発表されてき
た.このような背景を受け, 2005 年頃から各
国で“lightweight”,“low-power”を設計理念に掲げた
新暗号技術が次々に発表されるようになった. 2.2 ISO/IEC JTC 1/SC 27/WG 2 での検討状況
ISO/IEC JTC 1/SC 27/WG 2 では,JTC 1 からの技術
調査依頼を受け,2007 年に低消費電力暗号(Low Power Encryption)の Study Period が開始された.この
頃,日本国内委員会でも,新しい暗号技術の国際提案
方針について議論があり,新しい技術的特徴を持った
暗号方式は従来の国際暗号規格(ISO/IEC 18033)と
は別の国際規格を立ち上げて提案するのがよいので
はないかという意見が多く,2008 年 4 月の SC 27 京
都会合にて,日本NB寄書で軽量暗号規格のNew Work Item を立ち上げる意見表明を行った.これを受け,
2008 年 10 月のキプロス会合にて 低消費電力暗号 (Low Power Encryption)の Study Period が終了し,軽
量暗号(Lightweight Cryptography)の New Work Item Proposal が行われた.日本はこの新規格のコエディタ
を引き受け,軽量暗号に求められる要件などの議論に
積極的に貢献した.その後,2009 年 5 月の北京会合
にて,この規格にふさわしい暗号アルゴリズム・プロ
トコルの募集を行った.この結果,各国からブロック
暗号,ストリーム暗号,公開鍵暗号技術を用いたプロ
トコルの各カテゴリで複数の優れた方式が提案され,
2009 年 11 月のレッドモンド会合で subdivision を行い,
技術カテゴリごとにパートを発足させることになっ
た.以下に軽量暗号規格 ISO/IEC 29192, Information technology -- Security techniques -- Lightweight cryptography のパート構成を示す. ・ Part 1:総括(General)
エディタ:Riaal Domingues,盛合志帆 ・ Part 2:ブロック暗号(Block ciphers)
エディタ:盛合志帆,Axel Poschmann ・ Part 3:ストリーム暗号(Stream ciphers)
エディタ:吉田博隆 ・ Part 4:公開鍵暗号技術を用いたメカニズム
(Mechanisms using asymmetric techniques) エディタ:Matt Robshaw,Jean-Francois Misarsky
2012 年 5 月現在,ISO/IEC 29192 の各パートは規格
化の最終段階に入っており,Part 2 は 2012 年 1 月に
IS として出版され,Part 1 と Part 3 は FDIS で承認さ
れ,Part 4はDIS投票中という状況である(図1参照).
3. 軽量暗号規格 ISO/IEC 29192
本章では軽量暗号規格 ISO/IEC 29192 の各パートの
内容を解説する.
3.1 Part 1:総括
パート 1 では,軽量暗号に求められる要件として,
安全性要件,実装要件,その他の要件を規定している. 安全性要件:ISO/IEC 29192-1 では,軽量暗号の安全
性要件として「80 ビットセキュリティ以上」を規定
している.暗号アルゴリズムの強度としては,最も効
率的な攻撃方法を用いた場合の解読計算量が指標と
して用いられる.「80 ビットセキュリティ以上」とい
う条件は解読計算量が 280以上であることを求めるも
のである.軽量暗号というと小型実装性能のみを重視
し,安全性は重視されないような誤解を受けがちであ
るが,ISO/IEC 29192 では,安全性の最低基準を設け,
安全性が定量的に評価されたものを規格化している.
各パートでは 128 ビット以上の高いセキュリティレ
ベルをもつ方式も規格化されている. 実装要件:ISO/IEC 29192-1 では,実装要件として,
ハードウェア実装要件とソフトウェア実装要件を規
定している. ハードウェア実装要件としては, ・ チップ面積(ゲート規模) ・ 消費電力量
において従来技術より優れていることが条件となっ
ている.「チップ面積」は,半導体製造プロセスに大
きく依存しない Gate Equivalents (GE) という単位で
比較する.1 GE というのは 2 入力 NAND 1 つ分相当
のチップ面積に該当する.「消費電力量」は暗号処理
時間におけるチップ消費電力の積算総和である. 特に,軽量ハードウェア実装をターゲットとする ブロック暗号とストリーム暗号については, 規格へ
の提案時に以下の a) ~ g) のデータを要求し , lightweight 特性を検証・比較できるように規定してい
る. a) チップ面積(ゲート規模) b) 実行サイクル数 c) サイクルあたりの処理ビット数 d) 消費電力 (Power) e) 消費電力量 (Energy) f) ビットあたりの消費電力量 g) 実装に用いたテクノロジー [um]
ここで,消費電力(Power)と消費電力量(Energy)につい
て補足する.これらの値はともに実装環境に依存し,
公平な比較が難しいため,ISO/IEC 29192-1 では下記
のメトリックス(評価指標)を利用している. 消費電力 ~ チップ面積[GE] 消費電力量 ~ チップ面積×サイクル数[GE・CLK] チップ面積が消費電力の評価指標として利用できる
のは以下の理由による.まず,消費電力 P は,以下の
式で表すことができる.
ddleakddSCdd VIfNVQCVP ++= )21( 2
ここで C は回路容量,Vdd は回路電圧,QSC は短絡電
荷,f は動作周波数,N はスイッチング頻度,Ileak は
リーク電流である.この式の第 1 項は動的消費電力で
あり,動作周波数 f に比例する.第 2 項は静的消費電
力であり,リーク電流 Ileak に比例する.このリーク
電流はチップ面積に比例する.多くの Lightweight アプリケーションでは動作周波数が数百 kHz と小さく,
第 1 項は無視できるため,第 2 項が支配的となり,チ
ップ面積を消費電力の評価指標として利用できるわ
けである. ソフトウェア実装要件としては, ・ コードサイズ [byte] ・ RAM サイズ [byte]
において従来技術より優れていることが条件となっ
ている.特に,軽量ソフトウェア実装をターゲットと
するブロック暗号とストリーム暗号については,規格
への提案時に以下の a)~c)のデータを要求し,
lightweight 特性を検証・比較できるように規定してい
る. a) プログラムコードサイズ [byte] b) 必要 RAM サイズ [byte] c) 実装速度
3.2 Part 2:ブロック暗号
パート 2 では,パート 1 に規定された要件を満たす
5 11
2008
5 11
2009
5 11
2010
5 11
2011
5 11
2012
29192 WDNPSP
5 11
2013
subdivision (パート分割)
1stWD 1st CD 2nd CD
1stWD FDISFCD1st CD
Part 3
Part 4(Stream ciphers)
(Mechanisms using asymmetric techniques )DIS FDIS
1st WD 2nd WD
1st WD 2nd WD 1st CD 2nd CD
Part 2(Block ciphers)
Part 1(General)
FDISFCD
FDISFCD1st CD
図 1: ISO/IEC 29192(軽量暗号)の標準化
軽量ブロック暗号を規定している.このパートは 2012年 1 月に出版され,64 ビットブロック暗号の
PRESENT と 128 ビットブロック暗号の CLEFIA が掲
載されている.CLEFIA は日本 NB 提案技術である.
これらは 2 つともハードウェア実装で従来技術より
も優れた特性を持っている.例えば,鍵長 80 ビット
の PRESENT はわずか約 1000 gate(0.18um CMOS ASIC, 547 サイクル)の小型実装が可能である.鍵長
128 ビットの CLEFIA は 2500 gate を切る小型実装も
可能である一方,低消費電力の高性能実装が可能で,
0.09um CMOS ASIC で 18 サイクル,6000 gate を切る
ハードウェアサイズが実現可能となっている. 3.3 Part 3:ストリーム暗号
パート 3 では,パート 1 に規定された要件を満たす
軽量ストリーム暗号を規定している.このパートは
2012 年 5 月現在,FDIS 投票で承認されたところであ
り,Enocoro と Trivium が掲載されている.Enocoro は
日本 NB 提案,Trivium は ECRYPT プロジェクトのス
トリーム暗号 competition eSTREAM で選ばれた方式
の一つである. 3.4 Part 4:公開鍵暗号技術を用いたメカニズム
パート 4 では,公開鍵暗号技術を用いた軽量メカニ
ズムを規定している.このパートは 2012年 5月現在,
DIS 投票中である.軽量認証スキーム cryptGPS,軽量
認証・鍵交換メカニズム ALIKE,ID ベース署名
I2R-IDS が掲載されている. 4. おわりに
本稿では,軽量暗号の技術動向および ISO/IEC JTC 1/SC 27/WG 2 で進めてきた国際規格化状況について
紹介した.軽量暗号技術はまだまだ進化しており,軽
量ハッシュ関数の Study Period も開始されたところで
ある.日本はこの分野で技術的強みを持っており,今
後も国際標準化に貢献していければと考えている.
∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪∽♪
<編集後記>
標準化活動への参加の背景は,さまざまであろう.
所属する組織や国の方針に基づいて提案し国際標準
となるよう行動する,明確な方針はないが不利益が生
じないように状況を把握し意見を出す,などなど.国
際会議に参加することになれば,これらの背景が外国
からの参加者との人間関係にも反映するだろうと思
っていた. 標準化の国際会議での使用言語である英語と母語
の言語構造が大きく異なる日本人の場合は,国際会議
に参加しても,標準化の議論を除いて,外国人参加者
と活発に交流する参加者はさほど多くはないだろう.
私の場合も然り.参加目的を果たすべく会議での発言
はするが,外国の参加者と面識はあるとは言っても,
彼らと積極的に会話をすることが多くはなかった.思
い返せば,会議では意見が対立することの方が多かっ
たし,彼らからすれば私は煙たい存在という面もあっ
たと思う.彼らとは国際会議で一定の時間を共有する
だけの関係なのだろう,と考えていた. 国際会議で知り合った技術者に,こちらの都合で訪
問を申し入れ,会ってもらったことがある.ある人は
深夜まで議論に付き合い,自家用車で空港までの送迎
をしてくれた.事業紹介をしたら,その地域での事業
推進をしてくれると言ってくれた人もいる.標準化活
動で共有した時間は,標準化対象技術を媒介に,知ら
ぬ間に,彼らと私の関係を強固なものにしていた.近
頃,人脈という言葉を身近に感じつつある.(AM)
発 行 人
一般社団法人 情 報 処 理 学 会
情報規格調査会
広報委員会
〒105-0011 東京都港区芝公園 3-5-8
機械振興会館 308-3
Tel: 03-3431-2808 Fax: 03-3431-6493
http://www.itscj.ipsj.or.jp/