２０００年６月３０日
ＩＰＡセキュリティセンター
セキュリティ評価・認証室/CCTF

1st ICCC(米国・Baltimore)出張報告書

１．背景・目的

一昨年10月、欧米5ヶ国間（米・英・独・仏・加）を皮切りに情報システム製品のセキュリティレベルを評価・認証する「情報技術セキュリティ評価・認証制度」の国際的な相互承認協定の枠組みがスタートし、昨年10月にはオーストラリア、ニュージーランドが加わった。　更に８ヶ国（欧州）の加盟が予定されており、益々同制度の広がりが加速されている。
このような動きにより、今後ＥＣ（エレクトロニックコマース）のような強固なセキュリティを必要とするシステム関連製品を輸出する場合、セキュリティ評価認証が求められ、相互承認協定に参加していないと著しく不利になるものと懸念される。我が国も早期に国内のセキュリティ評価認証制度を持ち、相互承認グループに参加すべく通産省指導の下に、ＩＰＡで準備活動を進めている。
このような状況の中、下記国際会議に参加して「情報技術セキュリティ評価基準」（Common Criteria: ISO/IEC 15408）に関して、相互承認協定加盟各国での評価・認証制度の普及・運用状況、加盟準備国での検討・準備状況等の調査・情報収集を行った。

２．行程概要

(1) 出張期間：平成１２年５月２２日〜２７日（６日間）
(2) 出張先：米国 Maryland 州Baltimore, Baltimore Convention Center
(3) 用件： ICCC : (1st International Common Criteria Conference)参加
(4) 日程：５月２２日（月） 　：東京→Baltimore, Maryland, 米国
　　５月２３日（火）〜２５日（木） ：ICCC参加（３日間）
　　５月２６日（金）〜２７日（土） ：Baltimore, Maryland米国→東京
(5) 出張者：セキュリティ評価・認証室（上木、栗田）、CCTF（宇賀村、鈴木）

３．概要

(1)　全体

●　ICCC参加（5月23日〜25日）：（詳細、別紙−１〜６）

米国NIAP（National Information Assurance Partnership）主催の「情報技術セキュリティ評価基準」（Common Criteria: ISO/IEC 15408）だけに限定した初めての国際会議。今後の同基準普及・推進の中心的国際会議となるものと思われる。

基調テーマ：　Building More Secure Systems for the New Millennium
参加者：　　　 約5００名
各国政府の認定・認証機関、評価機関、ＩＴ製品利用者、ＩＴ製品製造会社、システムインテグレーター、ＩＴセキュリティ教育機関等

＊　内訳（当日配布のリストから）：
米国(３１１)、カナダ(１５)、英国(１６)、ドイツ(１７)、フランス(７)、オーストラリア(７)、フィンランド(５)、オランダ(４)、イタリア(２)、スペイン(１)、ノルウェー(３)、ブラジル(１)、スウェーデン(２)、ベルギー(２)、ハンガリー(３)、イスラエル(３)、中国(２)、台湾(４)、韓国(４)、日本(１７)

(2)　プログラム

●　プレナリセッション　［別紙−１参照］

　�@　Opening Plenary （基調講演）
　�A　CC-(M)RA Signing Ceremony（調印式）
　�B　Certificate Award Ceremony（表彰式）
　�C　Closing Plenary

●　トラックセッション

　次の４つのトラックが同時進行した。

　�@　Track A - General　［別紙−２参照］

• 世界各国の認定・認証・評価制度の紹介、普及・運用状況。
• 認定済の評価機関の紹介
• 各国の法制度・規則等が如何に同制度に影響するか。
• 加盟準備国での検討・準備状況。（日本の状況：MITI東井室長）

　�A　Track B - Technical　［別紙−３参照］

• CCの解釈および評価方法論(CEM)の論点・問題点。
• 評価者・認証者・認定者の為の支援ツールについての最新情報。
• IT製品評価に関する技術的な議論。

　�B　Track C - Protection Profiles and Guidance　［別紙−４参照］

• 世界各国政府機関・民間各業界においてスマート・カードからオペレーティング・システム、ファイアウォール等の様々な技術領域で開発されたPPの概要。
• 実際の経験から学んだPP、ST作成の基本プロセス。
• PPの概観、現在入手可能な（または将来出版予定の）CCガイダンス文書の概略。
• 革新的なCC利用者にとっての有益な情報提供。

　�C　Track D - Tutorial　［別紙−５参照］

• CC、CEMおよびツール・ボックス(Common Criteria Tool Box)。
• CCのセキュリティ要求事項。
• 機能要件・保証要件を如何に意味のあるPP、STに組み立てるか？
• 評価方法論が如何に評価プロセスで使われているか？
• 支援ツールが如何に要求仕様作成に効率的に使われているか？

●　ICCC Vender Exhibits　［別紙−６参照］

ICCCと併設して、CC関連のVender Exhibitsが行われていた（主催：FBC（Federal Business Council）Inc.）。入り口にあるNIAP、CC Projectのブースを含め、（M）RAに参加した主要国の、認証機関や評価機関、その他民間企業など、出展５１社・団体であった。

４．所感

第一回目ということもあり、「情報技術セキュリティ評価基準」について、一般に広く知ってもらいたい、という主催者の強い意向が感じられた。

この意向に加え「ＭＲＡ（相互承認）参加国を増やす」、「政府だけでなく、民間への適用を促進する」という狙いから、各講演は、概して丁寧な説明が行われた。

米国政府機関の主催とあって、一般のConferenceに見られるBusiness主体ということも無く、Academicな部分とのバランスのとれたものであった。

相互承認協定に参加していない韓国、中国、台湾、シンガポール、スウェーデン、イスラエル、ブラジル、ハンガリーなどからの参加もあり、CCへの国際的関心度の高さがうかがえた。

世界各国の関係者との意見・情報交換により、特に評価・認証制度の普及・運用状況について、有益な情報が得られ、また、多くの関係者と面識を得たことは、大きな収穫であった。

以上

［このページの先頭へ］

　　別紙−１：プレナリセッション
　　別紙−２：Track A − General
　　別紙−３：Track B − Technical
　　別紙−４：Track C − Protection Profile and Guidance
　　別紙−５：Track D − Tutorial
　　別紙−６：Vender Exhibits