情報セキュリティ
公開日:2007年3月20日
最終更新日:2023年8月3日
本制度に関連するISO/IEC規格として、次の規格が改正されました。
ISO/IEC 19790:2012は、FIPS 140-3のドラフトの内容をベースに、ISO/IEC JTC1/SC27で議論を経て改正されたもので、2015年に訂正再発行されています。なお、FIPS 140-3は2019年3月に承認され、その技術的内容についてISO/IEC 19790:2012を参照しています。
ISO/IEC 24759:2017は、ISO/IEC 19790:2012に対応する試験要件をまとめた規格で、2014年に第2版として発行されたのち、ISO/IEC 19790の2015年の訂正再発行と同期して2015年に訂正再発行され、さらに誤植等の軽微な修正を行って第3版として2017年に発行されたものです。
ISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。
本制度に関連するISO/IEC規格として、次の規格が制定されました。
ISO/IEC 19896-2は、暗号モジュール試験を実施する試験者の知識、技能などの能力要件を規定した国際規格です。
ISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。
本制度に関連するISO/IEC規格として、次の規格が制定されました。
ISO/IEC 18367は、暗号アルゴリズムの実装が、暗号アルゴリズムの仕様に適合して いるかどうかを試験するための方法を規定した国際規格です。このISO/IEC 18367:2016は、JCMVP、北米CAVPで実施している暗号アルゴリズムの適合性試験の内容を基に作成されたものです。
ISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。
本制度に関連するISO/IEC規格として、次の規格が制定されました。
ISO/IEC 20543は、ISO/IEC 19790に基づく暗号モジュール試験において、乱数生成器を試験する際の方法論を規定した国際規格です。
ISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。
本制度に関連する日本産業規格(JIS)として、次の規格が改正されました。
セキュリティ技術 — 暗号モジュールのセキュリティ要求事項
セキュリティ技術 — 暗号モジュールのセキュリティ試験要件
JIS X 19790:2023は、2012年に第2版として発行され、2015年に一部内容を改めて訂正再発行されたISO/IEC 19790:2012/Cor.1:2015, Information technology — Security techniques — Security requirements for cryptographic modulesを基に、技術的内容及び対応国際規格の構成を変更することなく作成した日本産業規格(JIS)です(国際一致規格)。
JIS X 24759:2023は、2017年に第3版として発行されたISO/IEC 24759:2017, Information technology — Security techniques — Test requirements for cryptographic modulesを基に、技術的内容及び対応国際規格の構成を変更することなく作成した日本産業規格(JIS)です(国際一致規格)。
日本産業規格(JIS)及びISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。
日本産業規格(JIS)を閲覧される場合は、日本産業標準調査会のウェブページで検索して下さい。
旧規格(JIS X 19790:2015, JIS X 24759:2017)に基づく暗号モジュール認証申請の受付けは、2023年7月末をもって終了いたしました。新規の暗号モジュール認証申請は、現行規格(JIS X 19790:2023, JIS X 24759:2023)に基づく必要があります。現行規格に基づく暗号モジュール試験に関する暗号モジュール試験機関の対応状況については、各暗号モジュール試験機関にお問い合わせください。
「政府機関等の情報セキュリティ対策のための統一基準」に定める遵守事項を満たすために講じなければならない「基本対策事項」を定めた、「政府機関等の対策基準策定のためのガイドライン」が内閣サイバーセキュリティセンターから発行されています。この「政府機関等の対策基準策定のためのガイドライン」の「基本対策事項」に例示される対策又はこれと同等以上の対策を講じることが、政府機関等に求められています。 この「政府機関等の対策基準策定のためのガイドライン」の7.1.5 暗号・電子署名に対応する基本対策事項として、『「暗号モジュール試験及び認証制度」に基づく認証を取得した製品を選択する』ことが定められています。 「暗号モジュール試験及び認証制度」に基づく認証を取得した製品に関する情報は、 暗号モジュール認証製品リストに掲載されています。
また、内閣サイバーセキュリティセンターが発行する「政府機関等の情報セキュリティ対策のための統一基準」及び「政府機関等の対策基準策定のためのガイドライン」の7.1.5 「暗号・電子署名」 遵守事項(1)-3 b)において、暗号鍵の生成から破壊(ゼロ化)までの暗号鍵のライフサイクルをカバーする、暗号鍵の管理手順を定めることが規定されています。「暗号モジュール試験及び認証制度」に基づく認証を取得した製品を利用する場合には、その製品の暗号鍵の管理方針が、公開セキュリティポリシーとして暗号モジュール認証製品リストに掲載されていますので、それを参照することにより不要な文書化を省いて効率よく、情報システムの暗号鍵の管理手順を作成することができます。
加えて、内閣サイバーセキュリティセンターが発行する「政府機関等の対策基準策定のためのガイドライン」の遵守事項から参照され、経済産業省が公開している「IT製品の調達におけるセキュリティ要件リスト」の中で、次の製品分野についてISO/IEC 19790 (及びその国際一致規格JIS X 19790)が参照されています。
IPAでは、この「IT製品の調達におけるセキュリティ要件リスト」を活用するために、具体的な活用例等を解説した「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」を公開すると共に、上述の2つの製品分野の適合製品情報を次のページで公開しています。
これら以外の製品分野であっても暗号を実装した製品は少なからず存在し、それらに関連する情報を「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」の中で解説しています。
デジタル庁が策定した「デジタル社会推進標準ガイドライン」で示される文書の1つである、「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」の中で、JCMVPが、トークンの保証レベルに関する対策基準として位置付けられています。
東京大学生産技術研究所の松浦研究室より、以下のガイドライン文書が公開されています。
これは、情報セキュリティシステムを構築する際の暗号モジュール採択について、科学的な理論基盤に基づいた設計手法や評価手法という観点から考察するシステムベンダ向けのガイドライン文書です。
暗号モジュール試験及び認証制度に関するお問い合わせは、下記の問い合わせ先までお願いします。
独立行政法人情報処理推進機構
セキュリティセンター セキュリティ技術評価部
JCMVP担当
〒113-6591 東京都文京区本駒込二丁目28番8号
文京グリーンコートセンターオフィス16階
TEL
03-5978-7545
FAX
03-5978-7548
Website
Map
2023年8月3日
「本制度に関連するISO/IEC規格」の「移行に関する情報」を更新
「認証製品の活用」の「政府機関等のサイバーセキュリティ対策のための統一基準」および「政府機関等の対策基準策定のためのガイドライン」へのリンクを最新化
2023年7月1日
リンク切れを修正
2023年1月20日
「本制度に関連する日本産業規格(JIS)」および「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」への対応の項を最新化
2022年12月20日
「認証製品の活用」の「政府機関等の対策基準策定のためのガイドライン」へのリンクを最新化
2022年4月19日
「認証製品の活用」の「政府機関等のサイバーセキュリティ対策のための統一基準」および「政府機関等の対策基準策定のためのガイドライン」へのリンクを最新化
2021年9月2日
「認証製品の活用」の「政府機関等のサイバーセキュリティ対策のための統一基準群」等へのリンクを最新化
2019年11月27日
ISO/IEC 20543の制定に関する情報を追記
2019年7月1日
「日本工業規格」を「日本産業規格」に変更
2019年5月24日
FIPS 140-3の発行について追記。「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」に関する情報を追記
2018年8月8日
ISO/IEC 19896-2の制定及び認証製品の活用に関する情報を追記