日本の制度案の作成

セキュリティ評価・認証及びその制度について先行している欧米各国の調査に基づいて、日本に構築すべき制度の制度案を作成している。

制度に関する規程類は各国とも一連の文書として発行されており、最初に発行されるものに制度の基本的事項が網羅されている。
現在作成中の制度案は検討途中の0.2版であるが、最終的に制度に関する規程文書類の最初のもの(No.1)となるべき物を目指している。

 

制度案の作成にあたって、日本に構築すべき制度の前提条件を次のように想定している。

  1. セキュリティ評価基準は1999年前半にISO標準となる見込みのコモンクライテリア

    2. CC)を採用する。

  2. セキュリティ評価・認証制度は、欧米で10年以上の実績があり、各国それぞれ異なっ

    3. てはいるものの、基本的な部分は共通のコンセンサスで運営されている。日本に構築す

    る制度も、先行する欧米のコンセンサスに合わせ、技術的にも同等の力量のものとする。

  3. 先行五ヶ国で実施している相互承認に参加する。そのために、制度は相互承認協定にも

整合させる必要がある。

欧米でのセキュリティ評価・認証制度の根幹は、ISO Guide25及びGuide65として標準化されており、共に評価及び認証の中立・公平・守秘・正確さと制度面と技術面での担保を要求している。

 

以上の前提を踏まえて、日本における制度案文書を以下の構成で作成した。

 

第1章

評価と認証制度の考え方(目的、範囲、及び相互承認)を記述する。

第2章

制度の概要及びその主な活動の概要を記述する。

第3章

制度の主要な参加者(認証機関、評価機関、ITセキュリティ評価の評価申請者を含む)の
役割と責務を規定する。

第4章

ITセキュリティ評価の遂行の手順を記述する。

第5章

認証機関の評価機関に対する監督、及び認証について記述する。

第6章

CC認証書と認証書継続につき記述する。

付録A:用語

付録B:認証機関の要件

付録C:評価機関の要件

付録D:評価申請者の責務

付録E:認証報告書

付録F:認証書

付録G:認証書継続

付録H:制度構築の考え方(解説)

付録I:ユーザにおける利用法(解説)

制度案文書に記載した制度の概要を図に示す。

image28.gif (29810 バイト)