公開日:2013年2月25日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
本ページの情報は2013年2月時点のものです。
暗号鍵寄託(Key Escrow)・鍵回復(Key Recovery)政策は、米国クリントン政権が1993年に発表したClipper政策 に端を発します。当時、暗号技術は世界的にも軍事技術の範疇として扱われ、特に、1993年2月に発生した世界貿易センター爆破事件を受け、テロ組織による暗号の利用を警戒する米国政府は、暗号技術の利用規制と輸出規制を暗号政策の両輪としていました。
一方、インターネットの一般利用が盛んになり始めた1990年代の産業界では、インターネットの商用利用に必要な安全策として暗号の利用が求められるようになるとともに、米国政府の打ち出した暗号鍵の強制的な寄託制度は個人のプライバシー保護に反するという人権擁護論者や、暗号鍵を集中管理することによりかえって危険性が増すという技術者などの反対意見が数多く出されました。また、米国連邦議会においても共和党がClipper政策に対する反対法案を幾つか提出するとともに、連邦裁判所においても鍵寄託や暗号の輸出規制に対する違憲判決が出るなど、米国国内でのClipper政策は1995年頃には行き詰まりの様相を呈しました。
この状況を背景に、米国政府は、OECDなどの国際機関に働きかけて、鍵寄託・鍵回復政策を国際的な枠組みの中で実現し、それによって米国国内においてもこの政策の実現を図ろうとしました。この働きかけの一環として、米国政府は1996年から1997年にかけて、OECD加盟各国に暗号特使を派遣し、鍵寄託・鍵回復政策への同調を依頼しました。しかし、OECDにおいては、1997年3月に「暗号政策ガイドライン」が勧告され、その中で米国が目指した政府による鍵寄託・鍵回復の強制は実現しませんでした。更に、1998年12月にワッセナー・アレンジメントにおいても鍵寄託・鍵回復政策は否定されました。
他方、米国政府の暗号政策のもう一つの柱である輸出規制についても、1996年12月に暗号技術が武器リストから商業統制リストでの扱いとなるととともに、1997年から1999年にかけて規制緩和が大幅に進みました。
このような経緯から、2000年の時点では、暗号利用規制や輸出規制は大幅に緩和され、鍵寄託・鍵回復政策自体も自然消滅の状況となり、国の安全保障政策の重点は、暗号規制対策から不正アクセス・サイバーテロ対策に移っていきました。
一方、国が主導する鍵寄託・鍵回復政策とは別に、民間企業において暗号利用が盛んになるとともに、暗号鍵が紛失する「ロストキー」の問題も顕著になり、これに対する対策としての鍵回復システムの必要性は1990年代から指摘されていました。また、最近は、内部統制の観点から、第三者によるデジタル・フォレンジック実施の際にも鍵回復の必要性が新たに指摘されています。このように、民間部門における鍵回復システムの必要性は現代においても引き続き生きているといえます。
本調査は、米国や国際社会における鍵寄託・鍵回復に関する歴史的な動向を振り返るとともに、当時の日本政府の対応や、通産省・IPAが実施した鍵回復試作システムの内容を概観した上で、現代的な視点での鍵回復システムの必要性や課題などをまとめるものです。
IPA セキュリティセンター
2013年2月25日
掲載