情報セキュリティ

暗号モジュール試験及び認証制度(JCMVP)に関連するISO/IEC規格

公開日:2007年3月20日

最終更新日:2023年8月3日

本制度に関連するISO/IEC規格

ISO/IEC 19790, ISO/IEC 24759

本制度に関連するISO/IEC規格として、次の規格が改正されました。

  • ISO/IEC 19790:2012/Cor.1:2015
  • Information technology — Security techniques — Security requirements for cryptographic modules
  • ISO/IEC 24759:2017
  • Information technology — Security techniques — Test requirements for cryptographic modules

ISO/IEC 19790:2012は、FIPS 140-3のドラフトの内容をベースに、ISO/IEC JTC1/SC27で議論を経て改正されたもので、2015年に訂正再発行されています。なお、FIPS 140-3は2019年3月に承認され、その技術的内容についてISO/IEC 19790:2012を参照しています。

ISO/IEC 24759:2017は、ISO/IEC 19790:2012に対応する試験要件をまとめた規格で、2014年に第2版として発行されたのち、ISO/IEC 19790の2015年の訂正再発行と同期して2015年に訂正再発行され、さらに誤植等の軽微な修正を行って第3版として2017年に発行されたものです。

ISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。

ISO/IEC 19896-2

本制度に関連するISO/IEC規格として、次の規格が制定されました。

  • ISO/IEC 19896-2:2018
  • Information technology — Security techniques — Competence requirements for information security testers and evaluators — Part 2: Knowledge, skills and effectiveness requirements for ISO/IEC 19790 testers

ISO/IEC 19896-2は、暗号モジュール試験を実施する試験者の知識、技能などの能力要件を規定した国際規格です。

ISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。

ISO/IEC 18367

本制度に関連するISO/IEC規格として、次の規格が制定されました。

  • ISO/IEC 18367:2016
  • Information technology — Security techniques — Cryptographic algorithms and security mechanisms conformance testing

ISO/IEC 18367は、暗号アルゴリズムの実装が、暗号アルゴリズムの仕様に適合して いるかどうかを試験するための方法を規定した国際規格です。このISO/IEC 18367:2016は、JCMVP、北米CAVPで実施している暗号アルゴリズムの適合性試験の内容を基に作成されたものです。

ISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。

ISO/IEC 20543

本制度に関連するISO/IEC規格として、次の規格が制定されました。

  • ISO/IEC 20543:2019
  • Information technology — Security techniques — Test and analysis methods for random bit generators within ISO/IEC 19790 and ISO/IEC 15408

ISO/IEC 20543は、ISO/IEC 19790に基づく暗号モジュール試験において、乱数生成器を試験する際の方法論を規定した国際規格です。

ISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。

本制度に関連する日本産業規格(JIS)

JIS X 19790:2023, JIS X 24759:2023

本制度に関連する日本産業規格(JIS)として、次の規格が改正されました。

JIS X 19790:2023

セキュリティ技術 — 暗号モジュールのセキュリティ要求事項

JIS X 24759:2023

セキュリティ技術 — 暗号モジュールのセキュリティ試験要件

JIS X 19790:2023は、2012年に第2版として発行され、2015年に一部内容を改めて訂正再発行されたISO/IEC 19790:2012/Cor.1:2015, Information technology — Security techniques — Security requirements for cryptographic modulesを基に、技術的内容及び対応国際規格の構成を変更することなく作成した日本産業規格(JIS)です(国際一致規格)。

JIS X 24759:2023は、2017年に第3版として発行されたISO/IEC 24759:2017, Information technology — Security techniques — Test requirements for cryptographic modulesを基に、技術的内容及び対応国際規格の構成を変更することなく作成した日本産業規格(JIS)です(国際一致規格)。

日本産業規格(JIS)及びISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。

日本産業規格(JIS)を閲覧される場合は、日本産業標準調査会のウェブページで検索して下さい。

移行に関する情報

旧規格(JIS X 19790:2015, JIS X 24759:2017)に基づく暗号モジュール認証申請の受付けは、2023年7月末をもって終了いたしました。新規の暗号モジュール認証申請は、現行規格(JIS X 19790:2023, JIS X 24759:2023)に基づく必要があります。現行規格に基づく暗号モジュール試験に関する暗号モジュール試験機関の対応状況については、各暗号モジュール試験機関にお問い合わせください。

認証製品の活用

「政府機関等の情報セキュリティ対策のための統一基準」への対応

「政府機関等の情報セキュリティ対策のための統一基準」に定める遵守事項を満たすために講じなければならない「基本対策事項」を定めた、「政府機関等の対策基準策定のためのガイドライン」内閣サイバーセキュリティセンターから発行されています。この「政府機関等の対策基準策定のためのガイドライン」の「基本対策事項」に例示される対策又はこれと同等以上の対策を講じることが、政府機関等に求められています。 この「政府機関等の対策基準策定のためのガイドライン」の7.1.5 暗号・電子署名に対応する基本対策事項として、『「暗号モジュール試験及び認証制度」に基づく認証を取得した製品を選択する』ことが定められています。 「暗号モジュール試験及び認証制度」に基づく認証を取得した製品に関する情報は、 暗号モジュール認証製品リストに掲載されています。

また、内閣サイバーセキュリティセンターが発行する「政府機関等の情報セキュリティ対策のための統一基準」及び「政府機関等の対策基準策定のためのガイドライン」の7.1.5 「暗号・電子署名」 遵守事項(1)-3 b)において、暗号鍵の生成から破壊(ゼロ化)までの暗号鍵のライフサイクルをカバーする、暗号鍵の管理手順を定めることが規定されています。「暗号モジュール試験及び認証制度」に基づく認証を取得した製品を利用する場合には、その製品の暗号鍵の管理方針が、公開セキュリティポリシーとして暗号モジュール認証製品リストに掲載されていますので、それを参照することにより不要な文書化を省いて効率よく、情報システムの暗号鍵の管理手順を作成することができます。

「IT製品の調達におけるセキュリティ要件リスト」への対応

加えて、内閣サイバーセキュリティセンターが発行する「政府機関等の対策基準策定のためのガイドライン」の遵守事項から参照され、経済産業省が公開している「IT製品の調達におけるセキュリティ要件リスト」の中で、次の製品分野についてISO/IEC 19790 (及びその国際一致規格JIS X 19790)が参照されています。

  • 暗号化USBメモリ
  • ドライブ全体暗号化システム

IPAでは、この「IT製品の調達におけるセキュリティ要件リスト」を活用するために、具体的な活用例等を解説した「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」を公開すると共に、上述の2つの製品分野の適合製品情報を次のページで公開しています。

これら以外の製品分野であっても暗号を実装した製品は少なからず存在し、それらに関連する情報を「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」の中で解説しています。

「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」への対応

デジタル庁が策定した「デジタル社会推進標準ガイドライン」で示される文書の1つである、「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」の中で、JCMVPが、トークンの保証レベルに関する対策基準として位置付けられています。

ガイドライン文書

東京大学生産技術研究所松浦研究室より、以下のガイドライン文書が公開されています。

これは、情報セキュリティシステムを構築する際の暗号モジュール採択について、科学的な理論基盤に基づいた設計手法や評価手法という観点から考察するシステムベンダ向けのガイドライン文書です。

お問い合わせ先

暗号モジュール試験及び認証制度に関するお問い合わせは、下記の問い合わせ先までお願いします。

独立行政法人情報処理推進機構
セキュリティセンター セキュリティ技術評価部
JCMVP担当

〒113-6591 東京都文京区本駒込二丁目28番8号
文京グリーンコートセンターオフィス16階

更新履歴

  • 2023年8月3日

    「本制度に関連するISO/IEC規格」の「移行に関する情報」を更新
    「認証製品の活用」の「政府機関等のサイバーセキュリティ対策のための統一基準」および「政府機関等の対策基準策定のためのガイドライン」へのリンクを最新化

  • 2023年7月1日

    リンク切れを修正

  • 2023年1月20日

    「本制度に関連する日本産業規格(JIS)」および「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」への対応の項を最新化

  • 2022年12月20日

    「認証製品の活用」の「政府機関等の対策基準策定のためのガイドライン」へのリンクを最新化

  • 2022年4月19日

    「認証製品の活用」の「政府機関等のサイバーセキュリティ対策のための統一基準」および「政府機関等の対策基準策定のためのガイドライン」へのリンクを最新化

  • 2021年9月2日

    「認証製品の活用」の「政府機関等のサイバーセキュリティ対策のための統一基準群」等へのリンクを最新化

  • 2019年11月27日

    ISO/IEC 20543の制定に関する情報を追記

  • 2019年7月1日

    「日本工業規格」を「日本産業規格」に変更

  • 2019年5月24日

    FIPS 140-3の発行について追記。「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」に関する情報を追記

  • 2018年8月8日

    ISO/IEC 19896-2の制定及び認証製品の活用に関する情報を追記