HOME情報セキュリティJISEC見える化プロジェクト

本文を印刷する

情報セキュリティ

JISEC見える化プロジェクト

掲載日:2011年8月25日

独立行政法人情報処理推進機構
技術本部セキュリティセンター

 IPAが運営するITセキュリティ評価及び認証制度における、制度改善の取り組み内容、及び成果について下記の通りご報告します。


ITセキュリティ評価及び認証制度

 IPAでは国際的なセキュリティ評価基準であるCommon Criteria(ISO/IEC 15408)に基づく、ITセキュリティ製品の評価認証制度を運営しております。

 本制度を利用することにより、IT製品の開発者は国際標準に基づく安全性の高いIT製品・システムを利用者にアピールでき、利用者も国際標準に基づいて認証された製品として安心して利用することができます。

 政府機関の統一的なセキュリティ対策ガイドラインである「政府統一基準」(2011年4月21日改定)において本認証制度の積極的な利用が謳われたこともあり、今後政府調達においても本制度による認証製品の積極的な利用が期待されます。


取り組み内容と成果

 本制度は今後の認証取得製品分野の拡大を踏まえ、より多くの認証申請に効率的に対応していく必要がありますが、下記のような課題がありました。

  • 認証取得プロセスには申請者・評価機関・認証機関といった3機関が関係しますが、第三者評価に基づき制度が担保すべき独立性、公平性の観点から、3機関での各認証プロセスの状況等については相互に公開しないことが通例でした。そのため様々なフェーズでプロセスの遅延が発生した場合に、相互の機関において把握が遅れ、リソース再配置によるリカバリー等の高い精度による管理が行えず、全体スケジュールに影響が出てしまうといった課題がありました。例えば、過去1年間の認証案件に関しては約50%の案件で当初計画より平均1ヵ月(最大約3ヶ月)の遅れが発生していました。

 上記課題に対する制度改善の一環として、わが国での制度利用状況を踏まえ、デジタル複合機の分野からパイロットプロジェクトを選定し、スケジュール可視化の取り組みを行いました。

 申請者・評価機関・認証機関で相互にスケジュールおよび進捗状況を情報共有し、各フェーズで発生し得る遅延リスクを早い段階で明確化しました。これにより事前スケジューリングやリソース最適配置等の適切な対応が取りやすくなり、遅延の発生に対して全体スケジュールに与える影響を最小限にできることを確認しました。また可視化された情報の分析結果を他案件にフィードバックすることで、よりスケジュール管理の精度を高められることも判明しました。

  (対象プロジェクト)
    対象期間: 2010年9月15日 ~ 2011年8月10日
    対象案件: 2件(認証番号:C0286、C0299)
    認証機関: IPA
    評価機関: ECSEC Lab.
    申請者: 株式会社リコー

 結果として、パイロットプロジェクトではスケジュールに対する遅延が発生せず、また遅延リスクの分析が行えることで次への案件にフィードバックすることができ、認証取得プロセスの改善が行えました。 今後は、適用対象プロジェクトの横展開を視野に入れ、本取組みを継続していく予定です。


本件に関するお問い合わせ先

IPA 技術本部セキュリティセンター 山北/石井
Tel: 03-5978-7508 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7508までお問い合わせください。

以上