IPAでは国際的なセキュリティ評価基準であるCommon Criteria（ISO/IEC 15408）に基づく、ITセキュリティ製品の評価認証制度を運営しております。

 本制度を利用することにより、IT製品の開発者は国際標準に基づく安全性の高いIT製品・システムを利用者にアピールでき、利用者も国際標準に基づいて認証された製品として安心して利用することができます。

 政府機関の統一的なセキュリティ対策ガイドラインである「政府統一基準」（2011年4月21日改定）において本認証制度の積極的な利用が謳われたこともあり、今後政府調達においても本制度による認証製品の積極的な利用が期待されます。

 本制度は今後の認証取得製品分野の拡大を踏まえ、より多くの認証申請に効率的に対応していく必要がありますが、下記のような課題がありました。

• 認証取得プロセスには申請者・評価機関・認証機関といった3機関が関係しますが、第三者評価に基づき制度が担保すべき独立性、公平性の観点から、3機関での各認証プロセスの状況等については相互に公開しないことが通例でした。そのため様々なフェーズでプロセスの遅延が発生した場合に、相互の機関において把握が遅れ、リソース再配置によるリカバリー等の高い精度による管理が行えず、全体スケジュールに影響が出てしまうといった課題がありました。例えば、過去1年間の認証案件に関しては約50％の案件で当初計画より平均1ヵ月（最大約3ヶ月）の遅れが発生していました。

 上記課題に対する制度改善の一環として、わが国での制度利用状況を踏まえ、デジタル複合機の分野からパイロットプロジェクトを選定し、スケジュール可視化の取り組みを行いました。

 申請者・評価機関・認証機関で相互にスケジュールおよび進捗状況を情報共有し、各フェーズで発生し得る遅延リスクを早い段階で明確化しました。これにより事前スケジューリングやリソース最適配置等の適切な対応が取りやすくなり、遅延の発生に対して全体スケジュールに与える影響を最小限にできることを確認しました。また可視化された情報の分析結果を他案件にフィードバックすることで、よりスケジュール管理の精度を高められることも判明しました。

 結果として、パイロットプロジェクトではスケジュールに対する遅延が発生せず、また遅延リスクの分析が行えることで次への案件にフィードバックすることができ、認証取得プロセスの改善が行えました。 今後は、適用対象プロジェクトの横展開を視野に入れ、本取組みを継続していく予定です。

本件に関するお問い合わせ先

以上