ITU-T SG17（セキュリティ）第8回会合報告 - ITU-AJ

会合報告
ITU-T SG17（セキュリティ）第8回会合報告
KDDI 株式会社
運用本部
セキュリティ
オペレーション
センター
マネージャー
せんが
株式会社
KDDI 総合研究所
セキュリティ
開発グループ
グループリーダー
わたる
みやけ
千賀　渉
ゆたか
三宅　優
1．はじめに
KDDI 株式会社
運用本部顧問
なかお
こうじ
中尾　康二
2.3　ITU-TとIETF間のセキュリティに関する連携のため
2016年8月29日〜 9月7日にスイス（ジュネーブ）にて、
のスペシャルセッションの開催
ITU-T SG17の第8回会合が開催された。この会合には日本
前回の会合でIETFとのリエゾンオフィサーとなったMr
からの11名を含む、31か国・4機関から143名の参加があっ
Vasiliy Dolmatov（ロシア）から、IETF96（7月、ベルリン）
た。提出された寄書は63件（うち日本から5件）で、391件
のセキュリティエリアミーティングにおいて、SG17の取組み
の臨時文書（Temporary Document）が発行された。
について紹介した内容等が報告された。
本会合は、現研究会期（2013 〜 2016年）最後の会合に
課題11とIETFとで開催されたアドホックセッションでは、
あたり、ロシアのKremer議長のほか、日本の中尾（筆者）
CMS（Cryptographic Message Syntax）とIETFでの
を含む複数の副議長が任期満了により退任することとなっ
ASN.1の利用に関する議論が行われた。IETFのRFCで古
た。新議長、副議長は10 〜 11月の世界電気通信標準化総
いASN.1が利用され続けていることを問題視している。
＊
会（WTSA-16）で選出される予定である。
3．各課題の主な審議内容と結果
2．SG17全体にかかわる結果
3.1　課題1/17：Telecommunication/ICT security coordination
2.1　開発途上国からの寄与に関するスペシャルセッションの開催
この課題は、SG17における進捗管理や課題間の調整、
開発途上国からの寄与に関するスペシャルセッションが
ITU-T全体のセキュリティにかかわる調整を行うことを目的
開催された。7月27 〜 28日に開催されたSG17のアフリカ地
としている。
域グループのミーティングレポートが報告されたほか、アフ
（Technical Report on the successful
◦技術レポートX.TRsuss
リカからの寄書等が議論された。
use of security standards）がアグリーメント（同意）さ
アフリカ地域グループでは、3つのWG（Cybersecurity、
れた。本文書は、ITU-Tのセキュリティに関する多くの
Electronic Transaction and Mobile Security、Internet
勧告群を紹介し、ユーザ（特に途上国のユーザ）が利
Infrastructure Security）を構成して議論している。
活用できるように体系的に整理したものである。
2.2　SG20との連携について
3.2　課題2/17：Security architecture and framework
IoT Security/Privacyに関するSG20との連携を議論す
この課題では、各種サービスに必要とされるセキュリティ
るスペシャルセッションが開催された。WTSA-16が近いこ
アーキテクチャとフレームワークの検討を行っている。今会
とからSG20にはリエゾンを送付せず、SG20とメールベース
合での主な審議結果は、下記のとおりである。
で連携して検討するコレスポンデンスグループ（CG-IoT）
◦SDNの各レイヤにおける脅威とセキュリティ要件、設計及
を更新して継続することとし、WTSA-16後に、SG20側と
び実装時の参照アーキテクチャを記述するX.sdnsec-2が
合同ラポータ会合の開催について検討することとした。
コンセント（合意）された。X.1038が割り当てられる予定
である。
◦勧告X.805で規定される、アクセス制御や認証などの8つ
＊　新議長に韓国のYoum氏、副議長に日本の三宅（筆者）を含む9名が選出された。
42
ITUジャーナル　Vol. 46　No. 12（2016, 12）
のセキュリティ分野ごとの対策技術をまとめたX.tigsc
（Technical security measures for implementation of
X.gpim for telecommunications organizations）を寄書
に基づいて更新した。
X.805 security dimensions）
がコンセントされた。X.1039
が割り当てられる予定である。本件に関し日本から、提
3.4　課題4/17：Cybersecurity
案された勧告草案にX.1051（通信事業者向けのセキュリ
本課題は、異なる組織間でサイバーセキュリティ情報を交
ティ管理策の実践規範）と矛盾する内容が含まれている
換する技術であるCYBEXシリーズをはじめとする、サイバー
ことを指摘し、課題3とのジョイントセッションにて該当
空間上の様々な脅威に対する具体的な対策やガイドライン
部分の修正を行った。
の検討を行っている。主な審議結果は、
下記のとおりである。
◦勧告草案X.salcm（Security reference architecture for
◦ウェブサイト等の信頼性をエンドユーザが認識できる
lifecycle management of e-commerce business data）
ようにするための手法を記述するX.cogent（Design
及びX.sgmvno（Security guideline for mobile virtual
considerations for improved end-user perception of
network operator）を寄書に基づいて更新した。
trustworthiness indicators）がデターミネーションされ
た。X.1212が割り当てられる予定である。
3.3　課題3/17：Telecommunications information security
management
◦ネットワーク間でインシデント情報を交換する際の様々な
アクセス制御モデルを説明するX.nessa（Access control
本課題は、ISO/IECとの共同文書であるX.1051（電気通
models for incidents exchange networks）がデターミ
信事業者向けのセキュリティ管理策の実装ガイドライン）をは
ネーションされた。X.1550が割り当てられる予定である。
じめ、テレコムにおける情報セキュリティマネジメントに関する
◦X.1500の付録１
（Appendix I-Structured cybersecurity
検討を行う。今会合での主な審議結果は、
下記のとおりである。
information exchange techniques）の改訂を行った。
◦個人識別情報を保護するための管理策と実装の手引き
◦X.sbb
（Security Capability Requirements for Countering
を記述するX.gpim（Code of practice for personally
Smartphone-based Botnets）及びX.samtn（Security
identifiable information protection）がデターミネーション
assessment mechanisms in telecommunication/ICT
（凍結）された。本文書はISO/IECと共同で策定された規格
networks）を寄書に基づいて更新した。
であり、ITU-T X.1058│ISO/IEC 29151となる予定である。
◦補足文書X.sup-gisb（Best practice for implementation
3.5　課題5/17：Countering spam by technical means
of ITU-T X.1054-Case of Burkina Faso）がアグリーメン
本課題では、スパム対策技術を検討することを目的とし
トされた。ISO/IECとの共同文書であるX.1054│ISO/IEC
ている。主な審議結果は、下記のとおりである。
27014（情報セキュリティのガバナンス）のベストプラクティス
◦X.ticsc（Draft new Supplement to ITU-T X.1245-
として、ブルキナファソ政府における適用例を示している。
Supplement on Technical measures and mechanism
◦新規ワークアイテムとして、インターネットからアクセス可
on countering the spoofed call in the terminating
能な資産のリスク管理ガイドX.sup-grm（Supplement to
network of VoLTE）を補足文書として発行することを
X.1055：Risk management implementation guidance
合意した。VoLTEにおけるなりすまし通話の技術的な
on the assets of telecommunication organizations
対策とメカニズムを説明している。
accessible by global IP-based networks）を設立した。
◦X.ctss（Supplement to ITU-T X.1231, Technical Frame-
また、前回の会合でX.1051が改訂されたことに伴い、同
,
勧告のユーザーズガイド（Users guide for X.1051）を改
ワークアイテムとして設立することとした。ITU-T X.1231
訂するためのワークアイテムX.sup13-revを設立した。
の補足文書となる。電話サービスにおける詐欺行為対策
◦勧告草案X.sgsm（Code of practice for Information
のための技術的なフレームワークの提供を目指している。
work for Countering Telephone Service Scam）を新規
security controls based on ITU-T X.1051 for small
and medium-sized telecommunication organizations）
、
X . sup -g pim（C ode of pract ice for persona lly
identifiable information protection based on ITU-T
3.6　課題6/17：Security aspects of ubiquitous telecommunication services
本課題は、モバイルセキュリティやUSN（Ubiquitous
ITUジャーナル　Vol. 46　No. 12（2016, 12）
43
会合報告
Sensor Network）セキュリティ、
ITS/IoT/SDNセキュリティ
3.8　課題8/17：Cloud computing security
に関連した議論が行われている。主な審議結果は、下記
SG13と連携を行いながら、クラウド・コンピューティング
のとおりである。
のセキュリティ関連を中心に検討を行う課題である。今回
◦X.itssec-1（Software update capability for ITS
の会合における主な審議結果は、下記のとおりである。
communications devices）がデターミネーションされた。
◦新規ワークアイテムとして、X.SRNaaS（Security require-
X.1373が割り当てられる予定である。日本が中心となっ
ments of Network as a Service（NaaS）in cloud
て提案、更新を行ってきた文書であり、ITS通信デバイ
computing）、X.SRCaaS（Security requirements for
スのためのソフトウェア更新について説明している。
Communication as a Service application environ-
◦X.iotsec-1（Simple encryption procedure for Internet
ments）及びX.GSBDaaS（Guidelines on security of Big
of things（IoT）environments）がデターミネーションさ
Data as a Service）を設立した。3件とも中国からの提案
れた。X.1362が割り当てられる予定である。本勧告案も
である。
日本が中心的に提案、更新を行ってきたものであり、
IoTデバイスを想定し、通信メッセージの重要な部分の
みを暗号化して処理を軽量化する手法である。
◦X.msec-11（Guidelines on mitigating the negative
effects of infected terminals in mobile networks）が
◦勧告草案X.dsms（Data Security requirements for the
monitoring service of cloud computing）
及びX.SRIaaS
（Security Requirements of Public Infrastructure as
a Service（IaaS）in Cloud Computing）を寄書に基づ
いて更新した。
デターミネーションされた。X.1126が割り当てられる予定
である。モバイルネットワーク上でマルウェア等に感染し
3.9　課題9/17：Telebiometrics
ている端末の状況を把握し、その影響を抑えるためのガ
バイオメトリクス技術を通信環境で利用するための標準
イドラインとなっている。
の作成を目的とした課題である。主な審議結果は、下記の
◦スマートグリッドに関する新規ワークアイテム提案Security
guidelines for smart metering service in smart grids
があり、X.sgsec-3としてワークアイテム設立が承認された。
とおりである。
◦X.bhsm（Telebiometric authentication framework
using biometric hardware security module）がコンセ
ントされた。ISO/IECとの合同文書（ITU-T X.1085│
3.7　課題7/17：Secure Application Services
ISO/IEC 27922）
として発行される。生体認証ハードウェ
本課題は主に、Webサービスやアプリケーションサービ
アセキュリティモジュールを利用したリモート認証フレー
ス、P2Pで必要とされるセキュリティ技術に関連した議論を
ムワークである。
行う。主な審議結果は、下記のとおりである。
◦X.hakm（Guidelines on hybrid authentication and key
◦X.tam（A guideline to technical and operational
countermeasures for telebiometric applications using
management mechanisms in the client-server model）
mobile devices）がコンセントされた。X.1087が割り当
を新規ワークアイテムとして設立した。パスワード認証を
てられる予定である。モバイルデバイスを用いて生体認
強化するためのメカニズムを提供する。
証をリモートで行うアプリケーションのための対策ガイド
◦ X.srfb（Security requirements and framework for
ラインである。
big data analytics in mobile internet services）を新
◦X.tab（Telebiometric authentication using bio-signals）
規ワークアイテムとして設立した。モバイルインターネット
を新規ワークアイテムとして設立することとした。韓国か
サービスでのビッグデータ解析の際に必要とされるセキュ
らの提案で、生体信号（心電図や脈波計等）を使ったバ
リティ要件とフレームワークを提供する。
イオメトリクス認証のためのものである。
◦X.fdip（Framework of de-identification processing
◦X.eassd（Framework of enhanced authentication in
service for telecommunication service providers）を
telebiometric environments using anti-spoofing
新規ワークアイテムとして設立した。電話サービス事業
detection mechanisms）が新規ワークアイテムとして提
者のための非特定化処理のためのフレームワークを提供
案された。中国からの提案で、偽造検知を使ったテレバ
する。
イオメトリクス認証強化の技術的フレームワークに関する
44
ITUジャーナル　Vol. 46　No. 12（2016, 12）
ものである。
しいASN.1に対応させたが、
再調整が行われることになる。
3.10　課題10/17：Identity management architecture and
3.12　課題12/17：Formal languages for telecommuni-
mechanisms
cation software and testing
ID管理に関連する技術やサービスについて検討する課
仕様記述言語、メッセージシーケンスチャート（MSC）、
題である。主な審議結果は、下記のとおりである。
User Requirements Notation、統一モデリング言語
◦ 勧告草案X.1254rev（X.1254：Entity authentication
（UML）、開放型分散処理（ODP）に関する検討を行って
assurance frameworkの改訂）を寄書に基づいて更新
いる。主な審議結果は下記のとおりである。
した。エンティティ認証のための4つの保証レベルを規定
◦Z.100（SDL-2010）シリーズの実装者ガイドであるZ.Imp100
,
（Specification and Description Language implementer s
する本勧告は、ISO/IEC 29115とほぼ同一の内容であ
り、ISO/IEC側の改訂プロジェクト進捗と同期して検討
guide-Version 3.0.1）を発行することとした。
を進めている。
◦SDL-2010の形式定義（Z.100 Annexes F1, F2 and F3）
◦オンラインビジネスにおける“人の実在性認証”に関する
の改訂版がコンセントされた。
検討
（Analysis on use cases that point to gaps in current
◦Testing and Test Control Notation version 3シリーズ
online authentication solutions）のための新規ワークア
（TTCN-3）のTTCN-3 core language（Z.161）
、TTCN-3
イテムの提案が中国から行われたが、SG17のスコープ外
operational semantics（Z.164）、TTCN-3 control
であるため提案が否認された。
interface（TCI）
（Z.166）、Using XML schema with
TTCN-3（Z.169）がコンセントされた。
3.11　課題11/17：Generic technologies to support secure
4．今後の会合の予定について
applications
X.509を含むPKI関連と、ASN.1/OID関連の検討を行っ
次回のSG17会合は、新研究会期（2017 〜 2020年）第1回
ている。主な審議結果は、下記のとおりである。
目の会合にあたり、2017年3月20日（火）〜 3月29日（水）
◦ISO側でのITU-T X.509シリーズ（X.500、X.501、X.509、
にスイス（ジュネーブ）で開催される。また会合前日の3月
X.511、X.520）のDAMの結果を全て取り入れ、第8版をコ
19日（月）には、SG17のマネジメントチームが中心となって、
ンセントした。また、X.509に対するTechnical Corrigendum
ブロックチェーンをテーマとするワークショップを開催する
3がコンセントされた。
予定である。
◦X.894（X.cms：Cryptographic Message Syntax）につ
次回会合までに開催される中間会合及び、次回以降の会
いてIETFとの連携に関するスペシャルセッションで議論
合予定は表1のとおりである。また、各課題のラポータ及び
が行われ、X.894の作業を中止して新規ワークアイテム
アソシエートラポータは第1回会合において選出されるが、
（X.CMS-prof：Cryptographic Message Syntax（CMS）
それまでの空白期間のラポータ／アソシエートラポータ
Profile）を立ち上げることとした。IETFにおけるCMSで
（interregnum rapporteurs/associate rapporteurs）は表2
は古い失効したASN.1が使われていたため、X.894で新
のとおりとなっている。
■表1．今後の関係会合の予定
会合名
開催期間
開催地
会合内容
課題8中間会合
2016年12月12 〜 13日
中国（北京）
X.dsms、X.SRIaaS、X.SRNaaS、X.SRCaaS、X.GSBDaaS、新規
ワークアイテムの検討
課題4中間会合
2017年1月
バーチャル会合
課題4のワークアイテム全て
ITSセキュリティに関するSG16課題27との合同会合
課題6中間会合
2017年1月19日または20日
スイス（ジュネーブ）
課題3中間会合※1
2017年2月
韓国（ソウル）
X.gpim、X.sgsm、X.sup-gpim、X.sup-grm及びX.sup13-rev
課題6中間会合※1
2017年2月
韓国（ソウル）
課題6のワークアイテム全て
課題11中間会合
2017年2月6 〜 10日
チュニジア（チュニス）
ISO/IEC JTC1/SC6/WG10との合同会合
ワークショップ
2017年3月20日
スイス（ジュネーブ）
ブロックチェーンをテーマとしたワークショップ
SG17会合
2017年3月21 〜 29日
スイス（ジュネーブ）
※1
2017年2月の課題3、6の中間会合は、同一会場・日程で実施される。
ITUジャーナル　Vol. 46　No. 12（2016, 12）
45
会合報告
■表2．次回会合までの空白期間のラポータ／アソシエイトラポータ（Interregnum Rapporteur/Interregnum Associate Rapporteur）
Question
Interregnum Rapporteur
1/17
Mohamed M. K. ELHAJ（スーダン）
2/17
Zhiyuan HU（中国）※2
Heung Ryong OH（韓国）※2
3/17
Miho NAGANUMA（日本/NEC）
Interregnum Associate Rapporteur
Cai CHEN（中国）
Isaac Kobina KWARKO（ガーナ）
Yiwen WANG（中国）
─
Kyeong Hee OH（韓国）
4/17
Youki KADOBAYASHI（日本/NICT）
Jong-Hyun KIM（韓国）
5/17
Yanbin ZHANG（中国）
Changoh KIM（韓国）
6/17
Jonghyun BAEK（韓国）
Bo YU（中国）
Yutaka MIYAKE（日本/KDDI）
7/17
Jae Hoon NAH（韓国）
Lijun LIU（中国）
8/17
Liang WEI（中国）
Sang-Woo LEE（韓国）
9/17
John George CARAS（アメリカ）
Kepeng LI（中国）
Abbie BARBIR（アメリカ）
Hiroshi TAKECHI（日本/NEC）
Junjie XIA（中国）
10/17
11/17
Erik ANDERSEN（デンマーク）
Jean Paul LEMAIRE（フランス）
12/17
Dieter HOGREFE（ドイツ）
Gunter MUSSBACHER（カナダ）
※2
共同ラポータ（Co-Rapporteur）
5．おわりに
今回開催された「ITU-T SG17（セキュリティ）第8回会合」
た。例えば、車同士、路側と車など「つながる車」に搭載
は、研究会期（2013 〜 2016年）の最後の会合となり、現
されるソフトウェアモジュールを遠隔からアップデートする勧
在の会期が終了した。今会期では、前の会期（2009 〜
告については、
多くの車関係者
（団体）との議論の結果、アッ
2012年）で議論された課題を継続して検討することに加え、
プデート手順を勧告化することができた。本結果は、
近年における脅威の変動、環境の変化に伴う多くの新たな
ITU-T SG17では初めてのITSに関係する規格であり、多く
研究課題が審議され、その勧告化が進められた。
の標準化団体や車関係者に注目されている。
例えば、現在では多くの企業において一般的に活用され
上記の幾多の重要課題においては、ITU-T SG17だけで
ているクラウドコンピューティングについては、2013年当初
それらの規格化の検討を行っているものではなく、ISO、
からクラウドセキュリティに関するフレームワークの検討が
IEC、JTC1、IETF、多くのSDOでそれぞれ検討を開始し
なされ、SG13との連携を考慮しながら、勧告X.1601（クラ
ている状況である。特に、今後のIoTに関するセキュリティ
ウドコンピューティングのためのセキュリティフレームワー
については、ITU-Tの中でもその分担や連携に苦慮してお
ク）を完成させた。本規格は、ISO/IEC JTC1/SC27に
り、現在、SG17とSG20の間で作業役割分担の調整が急務
おいても参照されており、ITU-Tのクラウドセキュリティの
とされている。さらに、本案件については、ITU-T以外の
基本規格となった。その後、クラウド提供者や利用者のた
ISO/IEC JTC1、多くのローカルSDOなどでも規格化の検
めのセキュリティ管理策（対策）の実施の規範（Code of
討が多方面から既に開始されており、今後のITU-T SG17
Practice）が上記SC27と共同で規格化され、
クラウドセキュ
で何を勧告化し、どのSDO（複数）と連携を進め、関係
リティの規格化の基礎を固めた。
SDO全体として最も効果的な規格化をどのように確立して
さらに、今研究会期においては、近年の環境変化にお
いくかが今後の重要な進め方の鍵になることは間違いない。
いて顕著となってきている、IoTサービス/システム、つな
新研究会期（2017 〜 2020年）に向けた課題整理は、
がる車（自動運転も含む）
、スマートグリッド、仮想化され
2016年10 〜 11月のWTSA-16において議論されることにな
たネットワーク環境（SDN/FVN）などの多くの新たな環境
るが、具体的なSG17における役割、及び本当に活用され
要素に関するセキュリティ検討が提案され、それらの勧告
るセキュリティ勧告化のための活動プランについては、
化が開始された。これらの課題の多くは新研究会期におい
WTSA-16の後のラポータ会合、第1回SG17会合において、
ても規格化作業が継続されるが、その一部については、
集中的に議論を行う必要があろう。新研究会期は、本当の
今回の第8回SG17会合にて凍結や合意を得ることができ
意味でSG17の真価が問われる会期となると考える。
46
ITUジャーナル　Vol. 46　No. 12（2016, 12）

Download Report