IPA






2007年度第II期未踏ソフトウェア創造事業(未踏ユース)  採択概要


 



1.担当PM


  筧 捷彦



2.採択者氏名


代表者

堀江 大輔(埼玉大学大学院 理工学研究科

共同開発者

  なし


3.プロジェクト管理組織


  株式会社 創夢



4.採択金額


  3,000,000



5.テーマ名


  ISO/IEC 15408に基づくセキュリティターゲット作成支援ツールPOSTAの開発



6.テーマ概要 (応募時資料を一部分改訂)

 国際標準ISO/IEC 15408に基づくITセキュリティ評価制度によって情報システムがISO/IEC 15408の認証を取得することは,企業にとって情報システムにおける安全性の大きなアピールとなり,大きな利益へと繋がるものである.しかし,ISO/IEC 15408の認証を取得するための申請に必要なセキュリティターゲットと呼ばれる情報システムの設計仕様書を作成するためには,多大な時間と費用が必要であった.このため,セキュリティターゲット作成のための労力を削減するツールが求められている.
  申請者は,セキュリティ機能の設計者が情報システムのセキュリティ機能を設計する際に,高い安全性を備えた情報システムのセキュリティターゲットを簡単に作成できるようにするために,セキュリティターゲットの雛形を自動生成するツールPOSTA(Prototype Of Security Target Auto-maker)を開発する. 
  POSTAは,利用者が設計しようとしている情報システムの概要を受け取ることで,ISO/IEC 15408認証取得済みの既存のセキュリティターゲットを元にして,新しいセキュリティターゲットの雛形を自動生成する.利用者は,POSTAによって雛形を自動生成することで,作成された雛形を叩き台として修正を加えるだけでセキュリティターゲットを作成することができるため,セキュリティターゲット作成における全体的な労力を大幅に削減することができる.
  また,生成された雛形は,ISO/IEC 15408認証取得済みのセキュリティターゲットを元に生成されるため,少なくともISO/IEC 15408を満たすセキュリティを備えていると言うことができる.



7.採択理由(担当PMからのコメント)

情報システムは,セキュリティ評価に関する国際標準ISO/IEC15408に従って認証をとることが強く勧められている。政府機関での情報システムでは義務化されてさえいる。しかしながら,その認証を受けるには,セキュリティターゲットと呼ばれる300ページを超える文書を用意して,認証を受けようとする情報システムのセキュリティの仕様を明らかにしなければならない。
このセキュリティターゲットを作成する作業を手助けするPOSTAとよぶシステムを作るという提案である。ユーザが用意した情報システムの定義をもとにセキュリティターゲットを自動生成する。その際に,すでに認証をとった情報システムのセキュリティターゲットから類似のものを検索して利用する。
技術的には,検索して得られた事例情報間の矛盾を自動検出してそれを解消することが課題となる。システム的には,認証済みのセキュリティターゲットからの情報活用と秘密保護・知的財産権保護とのかねあいが課題となる。
ビジネス化も意図したしっかりしたプロジェクト提案である。提案書は博士課程の1年生。その研究とも関連するプロジェクトであり,準備も整っている。




  ページトップへ   






Copyright(c) Information-technology Promotion Agency, Japan. All rights reserved 2007