海外制度の調査

１．目的

欧米各国のＩＴセキュリティ評価認証制度を調査し、日本のＩＴセキュリティ評価認証制度創設の参考にするとともに、制度における国際的な整合性の実現を図る。

特にＩＴセキュリティ評価認証制度を持ち運営する欧米各国の制度の実態を調査して制度創設の問題点を探るとともに、欧米各国が協力して推進しているＩＴセキュリティ評価認証に関する国際的なプロジェクトの状況を調査し、日本がＩＴセキュリティ評価認証に関する国際的な相互承認の枠組みに参加するための条件を明らかにする。

２．方法

通商産業省と米国商務省NISTとの定期会合、各国政府機関訪問、関連のコンファレンスやワークショップへの参加、インターネットによるウェブ情報の収集、各国制度関係文書の解読、電子メールによる問い合わせなどにより調査を実施した。

海外出張により行った調査は次の通りである。

1997年 6月30日英国政府機関（CESG）訪問

1997年10月 6日－10日第20回NISSCコンファレンス参加

1998年 2月 9日－12日Ｉ－４、FORUM33 参加

1998年 3月13日独の政府機関（BSI）訪問

1998年 6月16日－18日カナダ政府機関および米国民間評価機関訪問

1998年 9月 1日－10日英、独、仏の政府機関および独、仏の民間評価機関訪問

1998年 9月 9日－10日米国制度NIAPワークショップ参加

1998年10月 5日－8日第21回NISSCコンファレンス参加

３．調査結果

３．１．国際的プロジェクト－ CC プロジェクト

1993年 6月、米国、カナダ、英国、ドイツ、フランス、オランダの６カ国はそれぞれの国のITセキュリティ評価基準を統一して共通の評価基準CC（Common Critearia）を作成するを合意した。
統一評価基準は ISO 標準に提案することとされた。
計画は CC プロジェクトと名付けられ、６カ国７組織の代表者により組織された。

７組織は次の通りである。

ドイツBSI（Bundesamt fuer Sicherheit in der Informationstechnik）

英国CESG（Communications Electronics Security Group）

カナダCSE（Communications Security Establishment）

オランダNNCSA（Netherlands National Communications Security Agency）

フランスSCSS（Service Central de la Securite des Systemes d'Information）

米国US-NIST（National Institute of Standards and Technology）

米国US-NSA（National Security Agency）

　

CC作成の進行に合わせて、CC完成後のITセキュリティ評価認証を国際的に推進するために、並行して作業を進めるタスクグループが設けられた。

CCプロジェクトのタスクグループは次の通りである。

CCEB（Common Criteria Editorial Board）グループ：

CCを作成する。

グループはCC第1版完成後にCCIB（Common Criteria Implementation Board）、CC第2版完成後はCCIMB（Common Criteria Interpretation and Management Board）となった。

CEM（Common Evaluation Methodology）グループ：

CCに基くITセキュリティ評価を実施するための評価手法を作成する。

MR（Mutual Recognition）グループ：

ITセキュリティ評価の認証に対する相互承認ルールを作成する。

AA（Alternative Assurance）グループ：

ITセキュリティ評価における代替手法の研究を行う。

　

CCは1996年第1版、1998年第2版が完成し、1999年春にISO標準IS15408となる運びである。

CEM（あるいはCM）はCCに定める中程度（EAL４）以下の評価レベルに対して評価手法が作成されつつあり、1999年内に実用に供される予定である。

相互承認ルールについては1998年10月に協定書が公開され、既にITセキュリティ評価の制度を持っている米国、カナダ、英国、ドイツ、フランスの5カ国が調印したことが発表された。

AAグループについてはCCプロジェクトではリソース不足から優先度が落とされ、研究レベル以上の成果は公表されていない。

３．２．各国のセキュリティ評価認証制度

３．２．１．米国

米国では1985年にTCSEC（通称オレンジブック）を国防総省標準に指定し、これを評価基準にして国防総省のNSA（国家安全保障局）内の担当組織が評価を開始し、今日まで継続している。しかしながら民間の評価機関を制度に取り入れる試みは1997年になってようやく開始された。２年間の試行期間を経て、1999年は評価基準にCCを採用し、認定された民間評価機関で評価を行い、その個々の評価の過程と結果を政府の認証機関が認証する新しいITセキュリティ評価認証制度がスタートする運びとなった。

新しい制度のもとでは、従来の NSA の評価機関による評価と CC を採用した新しい評価とが併存する。
これは次のように役割を分担する。

NSA は TCSEC の B2 以上および CC の EAL5 以上を対象に評価を継続する。

民間評価機関はTCSECのB1以下およびCCのEAL4以下を評価対象にする。

　

新しい制度は1997年にNIAP（National Information Assurance Partnership）計画として発表され、制度創設のためにNIAP推進組識が商務省のNISTに置かれた。1998年には新制度の概要を示す基本文書が公開され、現在は評価機関の承認基準や評価認証の手続きなど詳細な文書が作成されつつある。

新しい制度においては、次の３者が制度の担い手となる。

NIAP認証機関（連邦政府）

制度諸規定の作成、基準やガイダンスの整備、民間評価機関の承認、評価機関による個々の評価のモニタ、個々の評価の認証（認証書と認証報告書の発行）を行う。

民間評価機関

評価機関になるためには、米国の試験機関認定制度NVLAPに基き評価機関として審査を受け認定された後にNIAP認証機関による審査承認を受けなければならない。

評価は評価申請者との商業契約ベースで行われる。

評価申請者

評価希望者はメーカ、ベンダ、ユーザ、インテグレータなどいずれでもよい。評価申請者は評価に関わる全ての費用を負担し、評価に必要な全ての情報や資材を提供する責任を負う。

　

３．２．２．カナダ

カナダは1993年に米国のTCSECと欧州のITSECを参考に独自の評価基準CTCPECを作成し、政府内のサポートのために国防省内に評価機関を置き、ITセキュリティ評価を行ってきた。

CC第2版の完成とITセキュリティ評価認証の相互承認を迎えることで、カナダ政府はCCを評価基準に採用し、認定された民間評価機関で評価を行い、その個々の評価の過程と結果を政府の認証機関が認証する新しいITセキュリティ評価認証制度を創設する準備を進めている。新しい制度の詳細は未だ公開されていない。

認証機関は国防省系のCSE（Communications Security Establishment）に置かれ、民間評価機関の認定はSCC（Standard Councel of Canada）が行う。

　

３．２．３．欧州３国（英国、ドイツ、フランス）

欧州においては逸早く、英国、ドイツ、フランス、オランダの4カ国が協力して評価基準の統一を図り、これを1991年にITSEC（IT Security Evaluation Criteria）として発行した。さらに評価手法としてITSEM（IT Security Evaluation Manual）を発行し、各国で第3者機関が実施する評価を同等とみなすための基礎を作った。

英国、ドイツ、フランスはそれぞれ、評価基準としてITSEC、評価手法としてITSEMを採用し、公的な認定機関により認定された民間評価機関に評価を行わせるITセキュリティ評価認証制度を整備した。その後、互いに調印を行い評価認証に対する相互承認を実現させた。このような経緯により各国の制度は基本的には同等の制度になっている。なおオランダは制度を作らなかったために相互承認に参加していない。

各国制度における制度の担い手は次の通りである。

認証機関（政府）

英国：CESG（Communications Electronics Security Group）

ドイツ：BSI（Bundesamt fuer Sicherheit in der Informationstechnik）

フランス：SCSSI（Service Central de la Securite des Systemes d'Information）

認証機関は制度諸規定の作成、基準やガイダンスの整備、民間評価機関の承認、評価機関による個々の評価のモニタ、個々の評価の認証（認証書と認証報告書の発行）を行う。

認定機関

英国：UKAS（United Kingdom Accreditation Service）

ドイツ：BSI、RegTP（Regulierungsbehoerde fuer Telecommunication und Post）、DEKITZ（Deutschen Koordinierungsstelle fuer IT-Normaenkonformitaetsprufung und zertifizieung）の３者

フランス：COFRAC（Comite Francais d’Accreditation）

それぞれ各国の既存の認定機関であり、評価機関を審査し認定する。

評価機関

評価機関になるためには、それぞれの認定機関の審査を受け認定された後に、それぞれの認証機関による審査承認を受けなければならない。

ＩＴセキュリティ評価は評価申請者との商業契約ベースで行われる。

1998年末時点で、英国では５社、ドイツでは8社、フランスでは5社が評価機関になっている。

評価申請者

評価申請者はメーカ、ベンダ、ユーザ、インテグレータなどいずれでもよい。評価申請者は評価に関わる全ての費用を負担し、評価に必要な全ての情報や資材を提供する責任を負う。

　

３．３．相互承認に参加するための条件

欧米各国政府機関が協定した相互承認グループに参加するには、相互承認協定書に定められた事項を達成しなければならない。その要点は次の通りである。

自国のITセキュリティ評価認証の制度を持つこと。

制度は相互承認グループ参加国の制度と同等な制度であること。

制度は評価基準および評価手法として相互承認グループが定めるCCとCEM（あるいはCM）を採用していること。

認証機関は法的あるいは公的な裏付けのある政府機関であり、ISOガイド65の要求事項を満たす組織であること。

評価機関はISOガイド25の要求事項を満たし、評価に必要な能力を持ち、評価の安定性を維持し、評価の絶対的な中立性を確保し、守秘義務を厳格に管理できるように制度が作られ、かつ運用されていること。

相互承認グループが行う制度の審査を受けて合格すること。

相互承認グループの審査の一環として、制度によって既に評価認証された製品を用いてシャドウ認証を受けること。

1997年 6月30日	英国政府機関（CESG）訪問
1997年10月 6日－10日	第20回NISSCコンファレンス参加
1998年 2月 9日－12日	Ｉ－４、FORUM33 参加
1998年 3月13日	独の政府機関（BSI）訪問
1998年 6月16日－18日	カナダ政府機関および米国民間評価機関訪問
1998年 9月 1日－10日	英、独、仏の政府機関および独、仏の民間評価機関訪問
1998年 9月 9日－10日	米国制度NIAPワークショップ参加
1998年10月 5日－8日	第21回NISSCコンファレンス参加