トピックス
最終更新日:2022年4月19日
公開日 2007年3月20日
本制度に関連するISO/IEC規格
ISO/IEC 19790, ISO/IEC 24759
本制度に関連するISO/IEC規格として、次の規格が改正されました。
- ISO/IEC 19790:2012
- Information technology — Security techniques — Security requirements for cryptographic modules
- ISO/IEC 24759:2017
- Information technology — Security techniques — Test requirements for cryptographic modules
ISO/IEC 19790:2012は、FIPS 140-3のドラフトの内容をベースに、ISO/IEC JTC1/SC27で議論を経て改正されたもので、2015年に訂正再発行されています。なお、FIPS 140-3は2019年3月に承認され、その技術的内容についてISO/IEC 19790:2012を参照しています。
ISO/IEC 24759:2017は、ISO/IEC 19790:2012に対応する試験要件をまとめた規格で、2014年に第2版として発行されたのち、ISO/IEC 19790の2015年の訂正再発行と同期して2015年に訂正再発行され、さらに誤植等の軽微な修正を行って第3版として2017年に発行されたものです。
ISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。
移行に関する情報
旧規格(ISO/IEC 19790:2006及びISO/IEC 19790:2006/Cor.1:2008, ISO/IEC 24759:2008)に基づく暗号モジュール試験報告書の受付けは、2020年6月末を以て終了いたします。それまでは、旧規格に基づく暗号モジュール試験報告書、現行規格(ISO/IEC 19790:2012 (Corrected version 2015-12-15), ISO/IEC 24759:2017)に基づく暗号モジュール試験報告書のいずれも受付可能です。それ以降は、新規の認証申請に基づく暗号モジュール試験報告書は、現行規格に基づく必要があります。現行規格に基づく暗号モジュール試験の、暗号モジュール試験機関の対応状況については、各暗号モジュール試験機関にお問い合わせください。
ISO/IEC 19896-2
本制度に関連するISO/IEC規格として、次の規格が制定されました。
- ISO/IEC 19896-2:2018
- Information technology — Security techniques — Competence requirements for information security testers and evaluators — Part 2: Knowledge, skills and effectiveness requirements for ISO/IEC 19790 testers
ISO/IEC 19896-2は、暗号モジュール試験を実施する試験者の知識、技能などの能力要件を規定した国際規格です。
ISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。
ISO/IEC 18367
本制度に関連するISO/IEC規格として、次の規格が制定されました。
- ISO/IEC 18367:2016
- Information technology — Security techniques — Cryptographic algorithms and security mechanisms conformance testing
ISO/IEC 18367は、暗号アルゴリズムの実装が、暗号アルゴリズムの仕様に適合して
いるかどうかを試験するための方法を規定した国際規格です。このISO/IEC 18367:2016は、JCMVP、北米CAVPで実施している暗号アルゴリズムの適合性試験の内容を基に作成されたものです。
ISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。
ISO/IEC 20543
本制度に関連するISO/IEC規格として、次の規格が制定されました。
- ISO/IEC 20543:2019
- Information technology — Security techniques — Test and analysis methods for random bit generators within ISO/IEC 19790 and ISO/IEC 15408
ISO/IEC 20543は、ISO/IEC 19790に基づく暗号モジュール試験において、乱数生成器を試験する際の方法論を規定した国際規格です。
ISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。
本制度に関連する日本産業規格(JIS)
JIS X 19790:2015, JIS X 24759:2017
本制度に関連する日本産業規格(JIS)として、次の規格が改正されました。
- JIS X 19790:2015
- セキュリティ技術 — 暗号モジュールのセキュリティ要求事項
- JIS X 24759:2017
- セキュリティ技術 — 暗号モジュールのセキュリティ試験要件
JIS X 19790:2015は、2012年に第2版として発行されたISO/IEC 19790:2012, Information technology — Security techniques — Security requirements for cryptographic modulesを基に、技術的内容及び対応国際規格の構成を変更することなく作成した日本産業規格(JIS)です(国際一致規格)。
その後、ISO/IEC 19790:2012は、一部内容を改めて2015年に訂正再発行されています。
JIS X 24759:2017は、2014年に第2版として発行され、2015年に一部内容を改めて訂正再発行されたISO/IEC 24759:2014, Information technology — Security techniques — Test requirements for cryptographic modulesを基に、技術的内容及び対応国際規格の構成を変更することなく作成した日本産業規格(JIS)です(国際一致規格)。
その後、ISO/IEC 24759については、誤植等の軽微な修正を行ったISO/IEC 24759:2017が第3版として発行されました。
日本産業規格(JIS)及びISO/IEC規格をご購入される場合は、一般財団法人 日本規格協会へお問い合わせ下さい。
日本産業規格(JIS)を閲覧される場合は、日本産業標準調査会のウェブページで検索して下さい。
移行に関する情報
旧規格(JIS X 19790:2009, JIS X 24759:2009)に基づく暗号モジュール試験報告書の受付けは、2020年6月末を以て終了いたします。それまでは、旧規格に基づく暗号モジュール試験報告書、現行規格(JIS X 19790:2015, JIS X 24759:2017)に基づく暗号モジュール試験報告書のいずれも受付可能です。それ以降は、新規の認証申請に基づく暗号モジュール試験報告書は、現行規格に基づく必要があります。現行規格に基づく暗号モジュール試験の、暗号モジュール試験機関の対応状況については、各暗号モジュール試験機関にお問い合わせください。
認証製品の活用
「政府機関等の情報セキュリティ対策のための統一基準」への対応
「政府機関等の情報セキュリティ対策のための統一基準」
に定める遵守事項を満たすために講じなければならない「基本対策事項」を定めた、「政府機関等の対策基準策定のためのガイドライン」が内閣サイバーセキュリティセンターから発行されています。この「政府機関等の対策基準策定のためのガイドライン」の「基本対策事項」に例示される対策又はこれと同等以上の対策を講じることが、政府機関等に求められています。
この「政府機関等の対策基準策定のためのガイドライン」の6.1.5 暗号・電子署名に対応する基本対策事項として、『「暗号モジュール試験及び認証制度」に基づく認証を取得した製品を選択する』ことが定められています。
「暗号モジュール試験及び認証制度」に基づく認証を取得した製品に関する情報は、
暗号モジュール認証製品リストに掲載されています。
また、内閣サイバーセキュリティセンターが発行する「政府機関等の情報セキュリティ対策のための統一基準」及び「政府機関等の対策基準策定のためのガイドライン」の6.1.5 「暗号・電子署名」 遵守事項(1)(b)(エ)において、暗号鍵の生成から破壊(ゼロ化)までの暗号鍵のライフサイクルをカバーする、暗号鍵の管理手順を定めることが規定されています。「暗号モジュール試験及び認証制度」に基づく認証を取得した製品を利用する場合には、その製品の暗号鍵の管理方針が、公開セキュリティポリシーとして暗号モジュール認証製品リストに掲載されていますので、それを参照することにより不要な文書化を省いて効率よく、情報システムの暗号鍵の管理手順を作成することができます。
「IT製品の調達におけるセキュリティ要件リスト」への対応
加えて、内閣サイバーセキュリティセンターが発行する「政府機関等の対策基準策定のためのガイドライン」の遵守事項から参照され、経済産業省が公開している「IT製品の調達におけるセキュリティ要件リスト」の中で、次の製品分野についてISO/IEC 19790 (及びその国際一致規格JIS X 19790)が参照されています。
IPAでは、この「IT製品の調達におけるセキュリティ要件リスト」を活用するために、具体的な活用例等を解説した
「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」を公開すると共に、上述の2つの製品分野の適合製品情報を次のページで公開しています。
これら以外の製品分野であっても暗号を実装した製品は少なからず存在し、それらに関連する情報を
「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」の中で解説しています。
「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」への対応
政府CIOが決定した
「デジタル・ガバメント推進標準ガイドライン」に関連する文書の1つである、
「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」の中で、JCMVPが、トークンの保証レベルに関する対策基準として位置付けられています。
ガイドライン文書
東京大学生産技術研究所の松浦研究室より、以下のガイドライン文書が公開されています。
これは、情報セキュリティシステムを構築する際の暗号モジュール採択について、科学的な理論基盤に基づいた設計手法や評価手法という観点から考察するシステムベンダ向けのガイドライン文書です。
問い合わせ
暗号モジュール試験及び認証制度に関するお問い合わせは、下記の問い合わせ先までお願いします。
独立行政法人情報処理推進機構
セキュリティセンター セキュリティ技術評価部
JCMVP担当
〒113-6591 東京都文京区本駒込二丁目28番8号
文京グリーンコートセンターオフィス16階
更新履歴
| 2022年4月19日 |
「認証製品の活用」の「政府機関等のサイバーセキュリティ対策のための統一基準」および「政府機関等の対策基準策定のためのガイドライン」へのリンクを最新化 |
|
| 2021年9月2日 |
「認証製品の活用」の「政府機関等のサイバーセキュリティ対策のための統一基準群」等へのリンクを最新化 |
| 2019年11月27日 |
ISO/IEC 20543の制定に関する情報を追記 |
| 2019年7月1日 |
「日本工業規格」を「日本産業規格」に変更 |
| 2019年5月24日 |
FIPS 140-3の発行について追記。「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」に関する情報を追記 |
| 2018年8月8日 |
ISO/IEC 19896-2の制定及び認証製品の活用に関する情報を追記 |
| 2018年7月2日 |
問い合わせ先を更新 |
| 2018年6月27日 |
移行に関する情報を追記 |
| 2017年4月25日 |
改正されたISO/IEC規格と日本工業規格(JIS)を公開 |
| 2017年1月24日 |
本制度に関するISO/IEC規格を公開 |
| 2010年6月29日 |
東京大学生産技術研究所の松浦研究室による情報セキュリティモジュールの認証製品利用に関するガイドラインを紹介 |
| 2009年11月10日 |
関連規格の版を追記 |
| 2009年11月2日 |
関連規格にJIS X 24759を追加 |
| 2008年2月25日 |
問い合わせ先を更新 |
| 2007年3月20日 |
本制度に関するJIS規格を公開 |
