セキュリティ評価・認証編

１．背景

　欧米の主要国には、個々の情報処理製品や情報処理システムのセキュリティ完備状況を評価し、認証するための制度が運用されている。この制度は、個々の情報処理製品や運用システムのセキュリティ機能や品質を、セキュリティ設計仕様書やプログラム設計書／ソースコード／テスト結果／マニュアルなどの内容のチェックや、テストの実施などによって評価し、問題が無いことを証明（認証：欧米では政府機関が実施し、認証書を発行）するというものである。

　この評価に利用される基準（セキュリティ評価基準）は、従来、各国が個別に作成して利用していたが、1999年6月には国際標準（International Standard− ISO/IEC15408）化が決定された。この国際標準と内容的に同等の基準書Common CriteriaV2．0（CC）は既に、1998年5月に発刊されている。欧米ではこの基準に基づいて、情報処理製品や運用システムの評価・認証が実施されており、アメリカ、イギリス、カナダ、フランス、ドイツの5カ国は1998年10月5日に、このCCによる評価結果を5カ国相互で認め合うための協定を締結した。

　この国際標準の制定により、今後セキュリティ製品やシステムの構築や運用において、国際的な規模で種々の影響が出てくることが予想される。例えば、ドイツでは電子署名などのサービスを提供するシステムを認定する条件として、CCによる評価が法的に定められている。また、アメリカのいくつかの州法でも、同様のサービス提供に際して、CCへの準拠が定められている。また、他社システムとの接続時に、接続対象システムの安全性を保証するものとして、この標準に基づく評価・認証を取得していることが要求される。このようにセキュリティ製品やシステムの評価・認証が、いわば製品の納入条件となることも予想され、今後セキュリティ製品関連産業への影響は大きい。

２．課題

1. 日本国内にセキュリティ評価・認証制度がない。　→　正式な国内制度確立のための検討

2. 評価技術者数が圧倒的に不足している。　→　技術者の育成

3. セキュリティ評価･認証に関して、ユーザが必要性を必ずしも十分に認識していない。　→　普及・啓発

4. 製品や運用システムを開発している企業の管理者は、セキュリティ評価の意義と国際標準への対応の必要性は十分認識しているが、対応のための期間とコストが大きくなるため、積極的に対応できる状況にない。→セキュリティ評価の効率向上

5. 近い将来ユーザやベンダの意識が高まり、必ず日本国内にセキュリティ評価・認証制度が必要になることは確実であるが、その時期が予測できない。　
   →　普及・啓発

３．実施分野とその内容の要点

３．１　情報収集及び調査研究

(1) 海外のセキュリティ評価・認証制度の情報収集

(2) 日本の制度構築のための調査研究

３．２ 研究開発

(1) セキュリティ評価技術の研究開発及び技術者育成

(2) セキュリティ設計評価支援ツールの研究開発

３．３ 普及啓発活動

上記、情報収集、調査研究及び研究開発で得られた成果を基に、文書公開やセミナー開催等を通じて広く普及啓発活動を実施した。

４．実施項目と概略

４.１ 情報収集及び調査研究

(1) 海外のセキュリティ評価・認証制度の情報収集

• 既にセキュリティ評価・認証を実施している各国、特に1998年10月に相互承認の合意を結んだ国に重点を置いて制度に関する情報収集（MRA加盟国の各機関一覧[PDF形式：24KB]、各国制度比較表[PDF形式：13KB]）を実施した。
  （各国制度概要：　米国、英国、ドイツ、フランス、カナダ）

• 相互承認の合意の内容及び参加に必要な条件に関する情報収集を実施した。

• セキュリティ評価基準は既に国際標準化されたが、評価手法については未定であり、その国際標準化の動向を調査・検討した。

　　　＊　出張報告書
　　　　　　・NISSC'99(米国)、米国NIST 訪問、I4 Forum 38（米国）

　　　　　　・セキュリティ評価関連会議出張報告

　　　　　　・I4 Forum 39（米国）

(2) 日本の制度構築のための調査研究

• 当面、欧米5カ国との相互承認に向けて順次国内システムを構築。当面、国際標準をベースとしたセキュリティ評価・認証の国内制度を立ち上げるため、制度文書案[PDF形式：221KB]を作成した。

• 認証機関に必要な規程・規則案及びマニュアル案を作成した[PDF形式：30KB]。

• 認定機関との連携を図りつつ、評価機関の認定に関する調査を実施した。

• CCのJIS化委員会に参加し、セキュリティ評価基準に関する国内標準の作成に協力した。-->　平成１２年３月末完成

４．２ 研究開発

(1) セキュリティ評価技術の開発及び技術者育成

• 実製品に対してセキュリティ評価の試行を行い、欧米の評価機関による評価結果との比較による検証を実施した。

• 試行評価で得られた知見を基に、CC翻訳書、セキュリティ評価のためのガイドライン［PDF形式：405KB］及びＳＴ／ＰＰ作成ガイドライン［PDF形式：166KB］を作成した。

(2) セキュリティ設計評価支援ツールの研究開発

• セキュリティ評価のための期間やコストを低減するため、セキュリティ設計評価支援ツール(データベースを含む)を研究開発し、これらツールによる開発及び評価結果と従来手法による開発及び評価結果の一致性や効率につき検証した。

　　　　［「セキュリティ設計評価支援ツール」のダウンロード］

４．３ 普及啓発活動

• ホームページを作成、公開及び更新した。また説明資料[PDF形式：183KB]、啓発リーフレット[PDF形式：251KB]を作成し随時更新した。

• ユーザ、ベンダそれぞれを対象とする、セキュリティ評価に関する公開セミナーを東京、大阪、福岡でそれぞれ実施した。

• セキュリティ設計評価支援ツールを、公開し、広くベンダー及び評価者の実用に供した。
  
  　　　［「セキュリティ設計評価支援ツール」のダウンロード］

• CC翻訳書、ＳＴ／ＰＰ作成ガイドライン［PDF形式：166KB］及びセキュリティ評価ガイドライン［PDF形式：405KB］を、公開し、広くベンダー及び評価者のCC学習用及び実用に供した。

５． 実施成果概要

• セキュリティ評価・認証制度の周知、必要性の認識及び創設を求める世論形成のための、公開ホームページ・説明資料・啓発リーフレットを作成

• セキュリティ評価・認証制度構築のための制度案を作成

• 認証機関及び評価機関創設に必要な規程・規則案、マニュアル案を作成

• CC翻訳書、ＳＴ／ＰＰ作成ガイドライン及びセキュリティ評価ガイドラインを作成（評価機関及びベンダー用技術ガイドライン）

• セキュリティ設計評価支援ツール(データベースを含む)を開発（評価機関及びベンダー用効率改善ツール）及び効果実証

６．全体関連図

別紙