HOME >> 情報セキュリティ >> ITセキュリティ評価及び認証制度(JISEC) >> 保証継続
保証継続
更新日:2013年4月1日
CC V2にて認証取得した製品の保証継続の扱いについて
国際承認アレンジメント(CCRA)において、CCV2にて認証取得した製品の保証継続の扱いが変更になりました。JISECでは以下のとおり運用します。
CCV2にて認証取得した製品の保証継続の申請期限は、認証取得後、原則2年以内となります。
なお、JISECでは、現在、CCV3.1にて認証取得した製品の保証継続申請ができる期間を認証取得後5年以内としていますが、CCRAにおいて期間を2年以内とする方向で検討がおこなわれております。
また、CCV2にて認証取得した製品が、バージョンアップ等の理由により再度評価を受ける場合は、CCV3.1での評価となりますのでご留意ください。
保証継続とは
保証継続は、認証製品に対し、バージョンアップなどで変更がなされた場合でも、その変更が評価され認証されたセキュリティ事項に影響を及ぼさないことを確認できた場合、認証機関から変更された製品に対しても認証書を発行する仕組みです。
これによりIT製品のような早いサイクルでバージョンアップ等がされる製品についても、市場へのタイムリーな認証製品の提供が可能となります。また、その認証結果もCCRAの相互承認の対象となります。
ただし、開発者は、認証済みTOEに対する一つ又は複数の変更が、保証レベルにおいてセキュリティに影響を及ぼさないことを分析し、影響分析報告書として報告しなければなりません。そのためには、技術的背景とともに十分な検査が実施される必要があります。
保証継続の判断について
保証継続が対象とする認証TOEに対する「変更」は、認証TOEから派生した新製品や新機能を意図するものではありません。認証TOEで評価されたセキュリティ機能仕様範囲において、ソフトウェアやガイダンスの不具合の修正やTOEの機能自体に変更のない動作環境の追加など、第三者による評価を実施せずとも、開発者(申請者)が自らの責任で保証に対する悪影響がないことを実証ならびに宣言できる「変更」のみが保証継続の条件となります。
変更がセキュリティ上どのように影響があるかの判断は、認証TOEが保証する範囲の理解と開発者分析による主張により行われます。変更が、認証TOEが保証する範囲に明らかに係らない場合、変更TOEは保証継続の対象となります。
変更が、認証TOEが保証する範囲に明らかに係る場合、その影響が大きい(major)のであれば保証継続は適用できず、通常の評価としての申請が必要となります。影響が小さい(minor)のであれば、その主張とともに影響分析報告書を作成することになります。なお、影響分析報告書作成の際には、参考資料の「影響分析報告書作成ガイダンス」を参考としてください。
参考資料
保証継続の概念、大まかな手順、影響分析報告書の構成などについては、下記の「ITセキュリティ認証に係る保証継続ガイドライン」をご参照ください。また、保証継続の判断基準、影響分析報告書作成に当たっての記述事例などを「影響分析報告書作成ガイダンス」として掲載してあります。
- ITセキュリティ認証に係る保証継続ガイドライン
(250KB) (2007年5月15日)
本資料は、「ITセキュリティ評価・認証制度」において、認証を授与されたIT製品等の申請者が保証継続を利用するためのガイドラインです。
- 影響分析報告書作成ガイダンス (114KB) (2008年2月19日)
- 保証継続適用のためのチェックリスト(影響分析報告書作成ガイダンス付録)
(189KB) (更新日:2011年12月20日)
本資料は、保証継続が適応される範囲についての考え方と影響分析報告の記述事例を示した参考文書です。本資料の付録には「保証継続適用のためのチェックリスト」が掲載されており、変更箇所が保証範囲にどのように影響するかをチェックするための項目が記述されています。詳細な影響分析を行う前に本チェックリストにより影響の範囲を把握し、保証継続の対象とするかの判断に利用することができます。
保証継続の準備 (事前レビュー)
申請者は、保証継続の申請に先立って、認証機関に「影響分析報告書」の事前レビューを依頼し、保証継続の妥当性を確認します。
以下の(1)の依頼書及び(2)、(3)の資料を作成して、
宛に送付してください。
なお、資料の暗号化が必要な場合には、事前にご相談ください。
以下の(1)の依頼書及び(2)、(3)の資料を作成して、
宛に送付してください。なお、資料の暗号化が必要な場合には、事前にご相談ください。
| 申請書等は様式集ダウンロード(認証申請)から入手してください。 | |
| (1) |
「保証継続事前レビュー依頼書」(CCM-02-A 様式20) 申請担当者の記名押印または署名がされているものをスキャンしてPDFファイルに変換してください。 |
| (2) |
「影響分析報告書」の作成 申請者は、当該製品が認証に影響を与えないことを証明するものとして、「影響分析報告書」を作成します。 チェックリストで再評価の必要がないと判断された場合、その根拠となる分析を記述してください。 上記の「影響分析報告書作成ガイダンス」に記載された章構成に従い記述していただきますが、章構成以外の記述形式は任意であり、定型フォーマットはありません。 |
| (3) |
「保証継続適用のためのチェックリスト(影響分析報告書作成ガイダンス付録)」の作成 申請者は、「チェック項目」の内容について、該当すれば「Yes」、該当しなければ「No」の判定をし、その欄の「保証継続可否の判断」に従ってチェックを進めます。 |
保証継続の申請
申請者は、事前レビューにて保証継続の妥当性が確認されましたら、
ITセキュリティ認証等に関する要求事項(CCM-02)
ITセキュリティ認証申請等のための手引(CCM-02-A)
に従って申請を行ってください。申請に必要な書類は以下のとおりです。
| 申請書等は様式集ダウンロード(認証申請)から入手してください。 | |
| (1) | 「保証継続申請書」(CCM-02-A 様式2) |
| 対象となるTOEの変更概要を記述します。 申請責任者が記名押印又は署名してください。申請責任者から権限を委任されている場合には、申請責任者の「委任状」を添付してください。(以前提出した「委任状」が有効期間内であれば、その写しでかまいません。) |
|
| (2) | 「影響分析報告書」 (1部) |
英文保証継続書の発行
- 英文保証継続報告書の発行は、21 英文認証報告書・英文STの掲載の「保証継続報告書」を参照してください。
保証継続申請の受付
認証機関に提出された上記に掲げる書類に不備がなければ、受付番号、受付日が申請者
に連絡されます。提出された書類に不備がある場合は、申請者に対して期限を定めて必要
な書類の提出を指示しますので、速やかに対応してください。