暗号モジュール試験及び認証制度（JCMVP）に関連するISO/IEC規格

本制度に関連するISO/IEC規格

ISO/IEC 19790, ISO/IEC 24759

本制度に関連するISO/IEC規格として、次の規格が改正されました。

• ISO/IEC 19790:2025
• Information technology — Security techniques — Security requirements for cryptographic modules
• ISO/IEC 24759:2025
• Information technology — Security techniques — Test requirements for cryptographic modules

ISO/IEC 19790（セキュリティ技術－暗号モジュールのセキュリティ要求事項）は、コンピュータシステム及び通信システムの中の取扱いに慎重さを要する情報を保護するために、これらのシステムの中のセキュリティシステムで使用される、暗号モジュールに対するセキュリティ要求事項を規定したもので、暗号モジュールがその要求事項を満たしていることを試験機関が試験する方法などを規定した“ISO/IEC 24759（セキュリティ技術－暗号モジュールのセキュリティ試験要件）”と対になって，“暗号モジュール試験及び認証制度”において用いることを想定したものです。

ISO/IEC 19790:2025は、第2版のISO/IEC 19790:2012及び訂正版のISO/IEC 19790:2012/Cor.1:2015をベースに、ISO/IEC JTC1/SC27によって改正されたもので、2025年2月に第3版として発行されました。今回の改正は、主に要件の表現を見直し、明確化のために再構成するとともに、新たな要件を追加し、重複又は不要な要件を削除しています。

ISO/IEC 24759:2025は、第3版のISO/IEC 24759:2017をベースに、ISO/IEC JTC1/SC27によって改正されたもので、2025年2月に第4版として発行されました。今回の改正は、ISO/IEC 19790:2025に基づき、個別要件、ベンダ情報要件及び試験手順要件の一部が更新されました。

ISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。

移行に関する情報

2024年4月1日より暗号モジュール認証の申請受付を停止いたしました。現行規格(ISO/IEC 19790:2025及びISO/IEC 24759:2025)に基づく新規の暗号モジュール認証申請については、暗号モジュール認証の申請受付を再開する際に改めてお知らせいたします。

ISO/IEC 19896-2

本制度に関連するISO/IEC規格として、次の規格が制定されました。

• ISO/IEC 19896-2:2018
• Information technology — Security techniques — Competence requirements for information security testers and evaluators — Part 2: Knowledge, skills and effectiveness requirements for ISO/IEC 19790 testers

ISO/IEC 19896-2は、暗号モジュール試験を実施する試験者の知識、技能などの能力要件を規定した国際規格です。

ISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。

ISO/IEC 18367

本制度に関連するISO/IEC規格として、次の規格が制定されました。

• ISO/IEC 18367:2016
• Information technology — Security techniques — Cryptographic algorithms and security mechanisms conformance testing

ISO/IEC 18367は、暗号アルゴリズムの実装が、暗号アルゴリズムの仕様に適合して いるかどうかを試験するための方法を規定した国際規格です。このISO/IEC 18367:2016は、JCMVP、北米CAVPで実施している暗号アルゴリズムの適合性試験の内容を基に作成されたものです。

ISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。

ISO/IEC 20543

本制度に関連するISO/IEC規格として、次の規格が制定されました。

• ISO/IEC 20543:2019
• Information technology — Security techniques — Test and analysis methods for random bit generators within ISO/IEC 19790 and ISO/IEC 15408

ISO/IEC 20543は、ISO/IEC 19790に基づく暗号モジュール試験において、乱数生成器を試験する際の方法論を規定した国際規格です。

ISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。

本制度に関連する日本産業規格(JIS)

JIS X 19790:2023, JIS X 24759:2023

本制度に関連する日本産業規格(JIS)として、次の規格が改正されました。

JIS X 19790:2023は、2012年に第2版として発行され、2015年に一部内容を改めて訂正再発行されたISO/IEC 19790:2012/Cor.1:2015, Information technology — Security techniques — Security requirements for cryptographic modulesを基に、技術的内容及び対応国際規格の構成を変更することなく作成した日本産業規格(JIS)です(国際一致規格)。

JIS X 24759:2023は、2017年に第3版として発行されたISO/IEC 24759:2017, Information technology — Security techniques — Test requirements for cryptographic modulesを基に、技術的内容及び対応国際規格の構成を変更することなく作成した日本産業規格(JIS)です(国際一致規格)。

日本産業規格(JIS)及びISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。

日本産業規格(JIS)を閲覧される場合は、日本産業標準調査会のウェブページで検索して下さい。

認証製品の活用

「政府機関等の情報セキュリティ対策のための統一基準」への対応

「政府機関等の情報セキュリティ対策のための統一基準」に定める遵守事項を満たすために講じなければならない「基本対策事項」を定めた、「政府機関等の対策基準策定のためのガイドライン」が国家サイバー統括室から発行されています。この「政府機関等の対策基準策定のためのガイドライン」の「基本対策事項」に例示される対策又はこれと同等以上の対策を講じることが、政府機関等に求められています。 この「政府機関等の対策基準策定のためのガイドライン」の7.1.5 暗号・電子署名に対応する基本対策事項として、『「暗号モジュール試験及び認証制度」に基づく認証を取得した製品を選択する』ことが定められています。

「IT製品の調達におけるセキュリティ要件リスト」への対応

経済産業省が公開している「IT製品の調達におけるセキュリティ要件リスト」の中で、ISO/IEC 19790 (及びその国際一致規格JIS X 19790)が参照されています。

IPAでは、この「IT製品の調達におけるセキュリティ要件リスト」を活用するために、具体的な活用例等を解説した「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」を公開しています。

「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」への対応

デジタル庁が策定した「デジタル社会推進標準ガイドライン」で示される文書の1つである、「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」の中で、JCMVPが、トークン等の保証レベルに関する対策基準として位置付けられています。

ガイドライン文書

東京大学生産技術研究所の松浦研究室より、以下のガイドライン文書が公開されています。

これは、情報セキュリティシステムを構築する際の暗号モジュール採択について、科学的な理論基盤に基づいた設計手法や評価手法という観点から考察するシステムベンダ向けのガイドライン文書です。

• 情報セキュリティモジュールの認証製品利用に関するガイドライン