先日、CRYPTRECシンポジウム2023に、オンラインで参加しました。
多くの方には、『ナニソレ？』というイベントだと思いますので、まずはそこから説明しましょう。

はじめに、私が記事にするからには、「CRYPTREC」というのもIT関係のモノです。
が、情報処理技術者試験の勉強でもしていない限り、一般企業のエンジニアの方でも、聞いたことすらないという方が多いと思います。（それはそれで問題ですが……）

「CRYPTREC」というのは、「Cryptography Research and Evaluation Committees」の略称で、主に政府調達に使用する「暗号技術」の安全性などを評価する組織です。
お馴染みの情報処理推進機構（IPA）も絡んでますが、デジタル庁、総務省、経済産業省、国立研究開発法人情報通信研究機構（NICT）などとの共同運営による、かなり国家機関に近い組織です。

今回のシンポジウムでは、同組織の活動報告と、10年ぶりに改定された「電子政府における調達のために参照すべき暗号のリスト（CRYPTREC暗号リスト）」の報告が目玉となっていました。
私は別に暗号技術の専門家というわけではありませんが、一応、情報処理安全確保支援士ですので、情報収集をしておこうと、今回オンラインで聴講することにしました。

内容的には、前半の CRYPTREC に関する説明や、活動報告などの部分は、多少知見のあるエンジニアであれば理解できるものだったと思います。
CRYPTREC暗号リストの基準や、その改定の方針など、暗号技術の利用に関する理解が深まる内容でした。

一方、後半は、かなり技術的な要素が濃くなりました。
「高機能暗号」や「2030年問題」など、（現時点では）かなり専門的な内容の講演でした。
私にとっては大変勉強になるお話でしたが、ベースとして情報処理安全確保支援士クラスの知識がないと、中々理解が追いつかないのではないかとも思いました。

全体的に見ると、今まで名前と公表物だけを暗記していたような CRYPTREC について、活動実態を深く理解することができました。
また、暗号技術に関しても、これまでになかった気づきを得つつ、対応の難しさを改めて知ることができました。
素直に、聴講してよかったと思います。

加えて、いま受注している案件でも、独自のアカウント管理がありますので、そのデータの暗号化について、再考するよい機会となりました。
講演を聴きながら、『ソフトウェアのライフサイクルを考えると、もう1段階ぐらい、強度の高い暗号化の方がいいかもしれない』などと考えていました。
まあ、今の方式も CRYPTREC を参考に設計したものですし、官公庁向けというわけでもないので、そこまでシビアに考える必要もないのですが。

それでは、シンポジウムの「使い方」が分かり始めた、山本慎一郎でした。