1　背景と目的

　電子政府で利用するIT製品・システムには、十分なセキュリティが要求されます。IT製品・システムのセキュリティ機能を定量的に評価する基準として、国際規格であるISO/IEC 15408、及びこれを国内規格としたJIS X 5070が既に制定されています。また、本年4月から、これらの規格に基づく我が国のセキュリティ評価・認証制度が発足しました。

　電子政府に向けたIT製品・システムを開発する上で、必要十分なセキュリティ機能が備えられることを保証する最初のステップとして、プロテクションプロファイル*1（以下｢PP｣という）が大変効果的な役割を持ちます。適切なPPを使用することで、調達者はセキュリティの基本ニーズを正確に開発者に提示でき、開発者は、調達者の要求を満たすセキュリティターゲット*2（以下｢ST｣という）の作成が容易になります。

　このため、電子政府として利用できるPPの開発・整備が急務となりました。情報処理振興事業協会は、経済産業省からの委託を受け、以下のとおり電子政府向けPP開発の公募を行います。

*1
プロテクションプロファイル (PP) : "Protection Profile" の略で、IT製品やシステムに関して、類似のものを集めたあるカテゴリを対象に必要なセキュリティ機能に関わる要件をまとめた文書です。例えば、「OS」、「ファイアウォール」、あるいは「ICカード」などのカテゴリに対してPPが作成されます。ある製品に関係したPPが既に開発済みである場合、その製品のST作成時に開発済みのPPを参照 (引用) することができます。すると、PPに含まれない、その製品固有の個所だけをSTとして新たに書けばよいので、ST作成が極めて容易になります。また、重要な脅威を見落としたりする恐れも減少します。PPの書き方は、セキュリティ評価基準の国際規格ISO/IEC 15408 (日本工業規格 JIS X 5070) で詳しく規定されています。

*2
セキュリティターゲット (ST) : "Security Target" の略で、IT製品やシステムにおけるセキュリティ機能に関わる要件と仕様をまとめた文書です。個々のIT製品あるいはシステムごとに作成されます。考慮すべき脅威や、脅威への対抗手段など、セキュリティ設計の基本方針がすべて明らかになります。STの書き方は、セキュリティ評価基準の国際規格ISO/IEC 15408 (日本工業規格 JIS X 5070) で詳しく規定されています。

2　公募の対象

　本公募は、電子政府として利用できるIT製品あるいはシステムに適用可能なPPの開発を対象とします。PPの構成を以下に示します。

　PPの構成 :

　また、海外で公開されているPPを参考に例示します。

　海外で公開されているPP (例) :

• Controlled Access PP (Version 1.d)
• Traffic Filter Firewall PP for Low Risk Environments (Version 1.1)
• Traffic Filter Firewall PP for Medium Robustness Environments (Version 1.4)
• Oracle DBMS PP
• SCSUG Smart Card PP (SCPP v2.1d, 03/21/01)

　PPが掲載されているURLは、以下のとおりです。

• http://www.radium.ncsc.mil/tpep/library/protection_profiles/index.html
• http://csrc.nist.gov/cc/pp/pplist.htm
• http://www.itsec.gov.uk/
• http://www.scssi.gouv.fr/fr/confiance/pp.html

　本公募で期待する内容を以下に示します。

(1) 公募対象の範囲

電子政府として利用できるIT製品あるいはシステムに適用可能なPP。

　電子政府の主要なアプリケーション分野として、電子政府の業務一般あるいは基盤に関わるもの*3、あるいは、電子政府のセキュリティ強化に関わるもの*4があります。

*3　電子政府の業務一般あるいは基盤に関わるもの (例) :

• 情報公開（行政情報の電子的提供）
• 電子申請（申請・届出など手続の電子化）
• 電子調達システム（政府調達の電子化）
• 認証システム（公的個人認証基盤の構築）
• データベース/情報共有システム、文書管理システム（ペーパーレス化）
• 上記をセキュアに実行するためのハードウエア部品　など

*4　電子政府のセキュリティ強化に関わるもの (例) :

• セキュリティ強化情報交換システム
• 侵入検出システム
• 上記をセキュアに実行するためのハードウエア部品　など

　これらの分野のアプリケーションを構築するシステム、そのシステムの構成要素となる製品などがPPの対象となります。なお、上にあげた例は、PPの対象範囲を限定するものではなく、電子政府に関連して有効性を持つという観点から、広く対象範囲を考えます。

　また、首相官邸のホームページに記載されています｢e-Japan2002プログラム〜平成14年度IT重点施策に関する基本方針〜｣
（ http://www.kantei.go.jp/jp/it/ ）も参考にして下さい。

(2) 公募の内容

　以下の内容を含み、PPがどのような用途のIT製品あるいはシステムに適用できるかを、分かりやすく提案して下さい。 (「3　提案書記載内容と形式」を参照)

• PPの名称
• EAL(評価保証レベル)：暫定値で可。
• TOE(評価対象)の概要: PPが適用されるTOEの内容、カバーする範囲、その他TOEを理解するために必要な説明。

(3) 納入物件

　納入物件は、以下の項目の印刷物 (認証書) および電子ファイル (PP、評価報告書、認証報告書) 各１式とします。なお、電子媒体およびファイル形式は当協会が指定したものとします。

• PP
• 評価報告書 ( (4) 付帯条件の第2、第3項を参照)
• 認証報告書 (同上)
• 認証書 (同上)

(4) 付帯条件

• PPを記述する言語は日本語とします。
• 開発するPPが他のPPを参照する場合、参照されるPPは公式の評価・認証を受けている必要があります。
• 開発するPPは、原則として、評価機関によるセキュリティ評価に合格し、認証プログラム*5による認証を受ける必要があります。

*5　我が国のセキュリティ評価・認証制度における認証機関。独立行政法人製品評価技術基盤機構内に設置される。

3 提案書記載内容と形式

　下記の事項に関して、貴社が実行できることを、簡潔にまとめて記載した提案書を提出して下さい。記述形式は自由とします。提出物は、提案書1部とその電子ファイル ( MS Wordファイル形式) を保存したFD (ラベルに提案者名、PPの名称を記載) です。なお、提出書類及びFDは返却しません。提出物の機密保持には充分配慮します。

(1) 提案のPPの名称及び内容

(2) 納入物件

(3) 実施スケジュール

(4) 実施体制

(5) 概算費用

(6) その他、特記事項

(7) 連絡先 : 会社名、所属、郵便番号、住所、氏名、電話番号、FAX番号、E-mailアドレスを記載して下さい。

4 費用の範囲

　概算費用の範囲は、提案に基づき見積もられた工数の人件費、外注費 (評価機関による評価費用を含む) 等の費用とします。
なお、認証プログラムによる認証費用を含める必要はありません。

5 契約条件と成果物の権利取り扱い

　契約形態は、請負業務契約とします。
　実施期間は、原則として、契約締結日から2002年2月下旬までとします。これには、評価・認証に必要な期間も含まれます。
　本契約によって作成された成果物の権利は、原則として全て情報処理振興事業協会に帰属します。

6 提案書提出方法と期限

　2001年8月23日 (木) までに提案書を郵送にて提出してください。郵送以外の提出は受け付けません。当日消印有効です。

7 審査方法

　提出された提案書の書面審査により、採択案件を選定します。

8 審査基準

(1) 本公募目的への適合性

• 電子政府として利用できるIT製品あるいはシステムに適用可能なPPであること

(2) プロジェクト遂行の実現性

• 提案の内容が明確であること
• 実施スケジュールに無理がなく、妥当な経費、スケジュールであること
• プロジェクトの遂行において、その作業体制やプロジェクトリーダ、参加者の資質、実績が十分であること
• プロジェクトにおける成果物の内容が有効利用できること

9 今後の予定

　本応募についての予定は下記のとおりです。

2001年8月23日 提案書受付締切り
2001年8月末 採択・不採択決定
2001年9月中旬 契約締結
2002年2月下旬 納入

10 問い合わせ先、提出先

情報処理振興事業協会
セキュリティセンター
セキュリティ評価・認証業務チーム 公募係

〒113-6591　東京都文京区本駒込2-28-8
文京グリーンコート センターオフィス16F

FAX： 03-5978-7548
E-mail: info-cc@ipa.go.jp