2000年11月10日
情報処理振興事業協会
セキュリティセンター

23rd NISSC　出張報告

●　 背景・目的

　一昨年10月、欧米5ヶ国間（米・英・独・仏・加）を皮切りに情報システム製品のセキュリティレベルを評価認証する「セキュリティ評価認証制度」の国際的な相互承認協定の枠組みがスタートし、昨年10月にはオーストラリア、ニュージーランドが加わった。
　更に今年5月同協定が改訂され、６カ国（フィンランド、ギリシャ、イタリア、オランダ、ノルウェー、スペイン）が加わり、現在合計１３ヶ国が参加しており、益々同制度の世界標準化が加速されている。
　このような動きにより、今後ＥＣ（エレクトロニックコマース）のような強固なセキュリティを必要とするシステム関連製品を輸出する場合、セキュリティ評価認証が求められ、相互承認協定に参加していないと著しく不利になるものと懸念される。我が国も来年度より国内のセキュリティ評価認証制度を立上げ、相互承認グループに参加すべく通産省指導の下に、関係団体と協力しながらＩＰＡで準備活動を進めている。
　この状況の中、欧米関係機関との相互交流を通じ、欧米諸国におけるセキュリティ評価･認証制度、評価技術、運用状況等の調査・情報収集を以下の通り実施した。

●　 カンファレンス概要

カンファレンス名：　23rdNISSC(National Information Systems Security Conference)
開催日時：　2000年10月16〜19日（4日間）
開催場所：　Baltimore Convention Center (Baltimore, MD. U.S.A.)

カンファレンスの位置付：

NISSC(National Information Systems Security Conference)はNIST、NSAによって年１回開催される、情報セキュリティに関してのカンファレンスである。評価・認証、e-コマース、ネットワーク＆インターネット、ポリシー・マネジメント等の各トラックに対して、政府機関、学術機関、民間企業からの発表が行われる。

参加者：

1200人程度：（日本からはIPAを含め十数名、他は当然ながらアメリカが大多数を占め、オランダ、ベルギー、日本、カナダ、サウジアラビア、ドイツ、ノルウェー、オーストラリア、スウェーデン、イギリス、シンガポール、イタリア、南アフリカ、デンマーク、アイルランド、フランス、韓国、スイス等）

参加目的：

「情報技術セキュリティ評価基準」（Common Criteria: ISO/IEC 15408）に関して、最新のセキュリティ評価･認証制度、評価技術、運用状況の調査・情報収集を行った。

内容：　

以下のとおり。

１．Special Events

�@　Opening Plenary （基調講演）
�A　NATIONAL COMPUTER SYSTEMS SECURITY AWARD
�B　Government Displays
�C　Vendor Exhibition

［詳細は、別紙１参照］

２．受講セッション

2.1　CC（Common Criteria）関連

（１）　Evaluation Scope
（２）　Common Criteria Tools: A Status and Demonstration
（３）　Innovative Uses of the Common Criteria
（４）　Smart Card Security Users Group Protection Profile & Projects
（５）　Effective Risk Analysis

［詳細は、別紙２参照］

2.2　その他セキュリティ技術

（１）　Single Sigh-on: Myth or Reality
（２）　Biometrics-Understanding the Architecture, API's, Encryption and Authentication Security for Integration into Existing System & Applications
（３）　Security for Domain Name System ? Ready for Prime Time
（４）　The OM-AM Framework and Role-Based Access Control

［詳細は、別紙２参照］

2.3　ワークショップ

（１）　Introduction to the Common Criteria[CC],Common Evaluation Methodology [CEM], and Common Criteria Toolbox

［詳細は、別紙２参照］

2.4　制度関係

�@　The Systems Security Engineering Capability Maturity Model
�A　The National Security Agency's Use of the Systems Security Engineering Capability Maturity Model (SSE-CMM)
�B　Progress of the Best Security Practices Subcommittee
�C　Aspects of InfoSec: The UK View
�D　Common Criteria Project: Making the CC Recognition Arrangement a Reality
�E　Guerilla Security: The Martial Art of Infosecurity
�F　Smart Card Security Users Group Protection Profile & Projects
�G　Workshop : Introduction to the National Certification and Accreditation Approach
　　　(The NIACAP)

以上