前半は「最近改定されたSSL/TLS暗号設計ガイドラインを紐解く」と題して、同社セキュリティ本部セキュリティ情報統括室の須賀祐治氏が登壇。同氏は「CRYPTREC」(Cryptography Research and Evaluation Committees:電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクト)の暗号技術活用委員会の委員であり、要は政府関連のサイト等で使用される暗号化技術の安全性を評価し、推奨される使用技術のガイドラインを策定している。

同ガイドラインはちょうど5月8日に新しいガイドライン(第2.0版)が発行されたばかりであり、その策定側の観点からのコメントとなった。ただし立場上、あまりおおっぴらに言えないこともあるということで、オフレコでの発言も多くなったのはやむを得ない。

  • 須賀氏が所属しているCRYPTRECのウェブサイト(URL http://www.cryptrec.go.jp)。電子政府向けの仕様ではあるが、セキュリティポリシーなどは民間での運用時の参考にもなるだろう

須賀氏の発表では、政府系サイトを例に挙げて、GPKI(政府認証基盤)のルート証明書がFirefoxによって不正に見える問題などに触れたほか、一部の商用CA(認証局)で発行されていたルート証明書がChromeで正しく表示されない問題などに触れ、SSLテストサイトで最新のブラウザを使って試験してみるなどの手法についても紹介されていた。

技術的な話はもちろんだが、ガイドラインの策定には様々な立場の人が関わることもあり、「(政治的に)大変なんだなあ」ということが端々から見て取れる内容だった。こういう業界裏話的な内容が聞けるのも、Technical Nightの醍醐味の一つだ。