情報セキュリティ
最終更新日:2023年12月15日
本ページでは、セキュリティ評価に関する規格や制度について、よくある質問とその回答を掲載しています。
IT製品の有するセキュリティ機能について、主に政府調達などにおいて調達者が求めるセキュリティの要件を満たしていること、つまり想定される脅威に対し適切な対抗となっていること、またその対抗手段が正確に実装されていることを、第三者が評価・認証を行う制度です。概要については、評価認証制度概要(JISEC)を参照してください。
また、歴史的経緯については、ITセキュリティ評価・認証の動向 を参照してください。
ITセキュリティ評価及び認証制度などでセキュリティ評価を行うための共通的な評価基準を定めたものです。情報資産を保有するIT製品のセキュリティを確保する観点から、 セキュリティに関する評価・認証を受けた製品等の利用を進めるために、 ITセキュリティ評価のための国際的な共通基準として用いられています。
パート1:概説と一般モデル、パート2:セキュリティ機能コンポーネント、パート3:セキュリティ保証コンポーネントで構成されています。 詳細については、CC(ISO/IEC 15408)概説を参照してください。
最新のCCは、セキュリティ評価基準(CC/CEM) で公開しております。
ISO/IEC 15408:1999 に対応する日本国内標準としてJIS X 5070 が 2000年 7月に制定されています。ただし、両規格共、現在使用することはできません。
注: 両者の規定内容は、同一のものとなっています。JIS X 5070で は、Part 1を完全な日本語翻訳とし、 Part 2 及び Part 3 については、本体部分を原文の英語のままとした要約形式として発行されています。
CCを規格化しているCCRA(Q1-7参照)とISO/IEC 15408の標準化を担当する ISO/IEC JTC1/SC27/WG3とは協力関係にあり、現在CCの規格を元にISO/IEC 15408の作成が行われています。よって、CCと ISO/IEC15408のリリース時期やバージョンは厳密には一致しませんが、一般的にセキュリティ評価基準を示す用語としては、CCもISO/IEC15408も同じ意味として使用されます。
TCSEC とは、米国国防総省下の NSA(国家安全保障局)内の NCSC(米国コンピュータセキュリティセンター)により、 軍用調達のためのコンピュータ製品評価基準として1983年に作成(1985年に改定)され、欧州の ITSEC や CC の開発に影響を与えました。 レインボーシリーズの一つとして発行され、表紙の色がオレンジ色であったことから通称「オレンジブック」とも呼ばれています。
ITSEC とは、Information Technology Security Evaluation Criteria の略で、英国、ドイツ、フランス、オランダの4ヶ国が 欧州統一評価基準として開発し、1991年6月に公開されたV1.2から運用が開始されました。
CCでは、これらの基準からの移行や比較のための便宜として、評価保証レベル(EAL)を定義しています。CCとTCSEC及びITSECとの保証レベルの関係は以下のようになります。
Common
Criteria |
TCSEC
|
ITSEC
|
---|---|---|
-
|
D
|
E0
|
EAL1
|
-
|
-
|
EAL2
|
C1
|
E1
|
EAL3
|
C2
|
E2
|
EAL4
|
B1
|
E3
|
EAL5
|
B2
|
E4
|
EAL6
|
B3
|
E5
|
EAL7
|
A1
|
E6
|
詳細については、諸外国のセキュリティ評価・認証制度の歴史 をご覧ください。
ISO/IEC 27001は、組織における情報セキュリティマネジメントシステム(ISMS)適合性評価の規格です。ISO/IEC 27001認証機関の審査員が組織におけるセキュリティ管理について規格に基づき審査を行い、認証を行います。
ISO/IEC 15408認証製品を適切に運用することで、セキュリティリスクの低減に寄与することが可能です。
ISO/IEC 15408は、製品のセキュリティ評価基準として定められた規格です。製品のセキュリティ評価において製品の企画・設計・製造・配付・設置・運用といった製品ライフサイクルにわたる評価が行われます。ライフサイクルにおいて、ISO/IEC 27001に適合したマネジメントシステムが安全なセキュリティ製品の提供に寄与することが可能です。
CCに基づいたセキュリティ評価・認証の相互承認に関するアレンジメント。正式名称は、Arrangement on the Recognition of Common Criteria Certificates in the Field of IT Securityですが、簡略化しCommon Criteria Recognition Arrangementと呼ばれていることから、CCRA と略されています。
認証国でCCに基づいて評価・認証された製品は、アレンジメントに合意した国同士でも相互に通用します。 加盟国には、自国に評価・認証制度を持つ認証国と、 国内に制度を持たないけれども、他の加盟国で認証されていれば、その国でも認証済みの製品として受け入れる受入国があります。CCRAでは、認証制度は基本的には国または国から委託された唯一の機関が運営・監督することとなっています。
このアレンジメントによって、調達者は使用目的の要件を満たす製品を、国際的により多くの選択肢から共通の基準を用いて調達することができます。また、ベンダもこの国際標準に従うことにより、国や制度ごとに異なる評価基準を満たす必要がなくなります。
CCRAでの相互承認の範囲は、以下にALC_FLRを含めたものです。
最新情報は、国際承認アレンジメント(CCRA) を参照してください。
ST(Security Target)は、IT製品のセキュリティ機能について、その目的や対抗手段、想定される運用環境などを記載したセキュリティ基本設計方針書のようなものです。製品調達の際、このSTを読むことで対象製品が自らの環境や目的に合致しているかを判断できますし、同類製品をSTにより比較することもできます。
PP(Protection Profile)は、特定の分野の製品について必要とされる典型的なセキュリティ要件、環境などを記述した要求仕様書であり、STをより抽象的(実装非依存)にしたものとなっています。製品調達者が、PPという標準化された要件形式を用いることで、調達者や開発者などが共通の解釈をもつことができます。
一般的には調達者はセキュリティ要件としてPPを提示し、応札者はPPに準じたIT製品のSTを作成し、それに基づく評価を受けることとなります。
CC(ISO/IEC 15408)のパート1の附属書にSTとPPの仕様が記述されています。 STとPPの記載内容をお知りになりたい方は、CCパート1の附属書を参照してください。
また、PPに関しましては、「IC旅券用プロテクションプロファイル」に関する調査報告書」もご参考としてください。
collaborative Protection Profileの略です。これまで調達者が個別に作成していた調達要求仕様であるPPを、CCRA加盟国で共同開発した共通PPです。
各国の政府調達において同じ製品分野で似たようなPPが複数発行されることによる、製品ベンダの重複する評価コストを軽減することを目的にしています。現在は、調達頻度の高い製品分野からcPPを開発しています。
評価(機関)は対象となる製品に対し実際の評価を行い、認証(機関)は評価結果に対し認証を行います。
評価では、IT製品のセキュリティ機能の妥当性・正確性をIT及びセキュリティの専門的な知識をもって検査します。認証ではその評価項目が評価基準に沿ってなされたか、つまり特定の側面だけが深くあるいは網羅性のみで技術的に浅い評価が行われることなく、特定された評価保証に見合ったバランスのよい評価が行われたことを確認します。
CCRAで有効な認証機関は一国にひとつであり、国もしくは国が委託した機関である必要があります。日本においてはIPAが認証機関となっています。
評価機関となるには、認定機関である独立行政法人 製品評価技術基盤機構により手続、設備、教育などが試験事業者としての要件を満たしていることの認定を受ける必要があります。認定審査とともに、試行的な評価を実施し、セキュリティ評価を行える要員を組織が有していることも認証機関(IPA)により確認されます。もちろん、IT製品のセキュリティ評価・脆弱性評定が可能な特定分野でのEALに応じたITスキルの保持が前提となります。
おおまかなイメージとしては、下記のようなステップになります。
申請者
申請者
評価機関
申請者
認証機関
評価機関
認証機関
期間は、評価対象の規模や評価保証レベル(EAL)によって異なるため一概には言えませんが、例えば、EAL2 の場合で最短でも 4~6ヶ月はかかっています。 EAL4の場合、12ヶ月以上かかることもあります。認証が調達の要件等になっている場合などは、予め期日にむけたスケジュールを評価開始時に調整する必要があります。
特に評価する製品の技術分野について専門的な知識を持つ評価機関を選択することは、評価の期間に大きくかかわってきます。評価機関の選択に当たっては、対象となる技術分野の専門家を伴い評価機関を訪問し、人材や設備の確認をすべきです。
費用は、評価機関に支払う評価費用、認証機関に支払う認証申請手数料のほか、ST作成や(もし、現開発プロセスにおいて作成される資料で不十分な場合は) CCで定められた各種証拠資料の準備、評価中に生じる不具合等への対応、テスト環境の準備などの内部工数あるいは、コンサルタント(使用した場合)にかかる費用が発生します。 評価費用は、評価対象の規模や現開発プロセスの状況などに応じて、また評価機関のサービス内容によって異なります。評価費用とそのサービス内容については、各評価機関にお問い合わせください。認証申請手数料は、「申請手数料支払いについて」を参照してください。
評価機関がコンサルティングサービスを提供することは、禁止されています。評価機関及び評価者は、評価に際し独立性及び公平性を維持することが義務付けられています。 評価機関の所属する法人でも、独立した別部門が評価にまったく影響を与えない形でコンサルティングを実施する場合がありますが、この場合でも評価機関の独立性は独立行政法人 製品評価技術基盤機構等の認定機関により厳しく審査されています。
セキュリティ機能を持ったIT製品のソフトウェア、ハードウェア、ファームウェア等が対象になります。 ISO/IEC 15408は、IT製品に実装されたセキュリティ機能が、脅威に対し確実に対抗できるかを客観的に評価するための基準です。 したがって、評価の対象となるものは、「保護するべき資産(情報)」、「対抗すべき脅威(攻撃)」、 「適用すべき環境」が具体化できるものでなければなりません。 日本における政府調達の対象分野は、経済産業省の 「IT製品の調達におけるセキュリティ要件リスト」を参照してください。
評価・認証済みの IT 製品としては、OS、DBMS、ファイアウォール、ルータ、IC カード、MFPなどがあります。具体的な製品については、JISECにおける認証製品リストやCCRAのCertified product list などを参照してください。
実際に認証申請をする場合には、評価機関が申請する評価対象分野を評価できる必要がありますので、事前に評価可能かを各評価機関にご相談ください。
CCのセキュリティ評価では、機能テストは一部の側面でしかありません。IT 製品だけではなく、その開発で使用した設計文書やテスト関連の文書、利用者や管理者ガイダンス、実際の開発現場におけるセキュリティ維持のための手順書や実施証拠資料(各種ログや承認書など)も評価の対象となります。また、EALによって評価の範囲や深さが異なりますので、これらの必要な資料類も異なります。
いずれもセキュリティを確保するために必要な資料であり、評価のために別途作成されるものではありません。該当する資料へのインデックスを評価者に示していただければいいものです。もし評価に必要な資料がないとすれば、それは必要とされるべき手順や記録が欠落していたことを意味します。
CCパート1の附属書を参考に作成できます。また、現在、JISECの各種講座や評価機関において、 ST作成に関する教育が行われています。 詳細につきましては、各機関にお問い合わせください。
調達などでは要件に見合ったEALを調達者・顧客が指定しますが、パッケージ製品では製品の特性や市場の動向から開発者が決定する場合もあります。 いずれにしても適切なEALの選択が、スムーズな評価・認証につながります。EALの決定については、「セキュリティ機能と保証レベル」も参照してください。
基本的には、雛形の秘密保持契約書の内容とします。ただし、政府調達の目的に有用あるいは合致している範囲内であれば内容を検討の上、覚書にて対応いたします。検討のためお時間を要しますので、余裕を持ってご相談ください。なお、申請受付は覚書事項等の合意がとれてからとなります。
はい、認証申請に際して、案件ごとに申請者と認証機関の間で、秘密保持契約を締結します。認証機関における秘密情報の取り扱いは、「ITセキュリティ認証業務取扱手順」(CCM-01-A)に従い、保護されます。
評価機関における秘密情報の保護については、別途申請者と評価機関の間で、秘密保持契約の締結が必要となります。評価機関の運営管理につきましては独立行政法人製品評価技術基盤機構等の認定機関により情報の管理について厳しい審査を受けています
申請者と認証機関との間の秘密保持契約の有効期間が終了した後、「ITセキュリティ認証業務取扱手順」(CCM-01-A)に記載の方法で、返却又は消去を行います。紙媒体の場合はシュレッダにより消去し、電子データの場合は内容を消去します。
はい、可能です。
秘密情報には特に秘匿性の高い情報もありますので、その場合情報開示時に「禁複写」等の表示、又は特別な取扱いに関する指示書(不要になった時点で返却又は消去)を添付頂ければ、「ITセキュリティ認証業務取扱手順」(CCM-01-A)に基づいて、適切に処理します。
認証申請書における申請責任者は、その製品のセキュリティ評価及び認証を行う上で必要となる評価対象、評価用提供物件(製品ライフサイクルにおける証拠資料)等を提供するにあたり、権限のある方となります。通常は、事業責任者等の役職の方が権限と責任を負うことになります。
認証申請手続、及び認証機関との連絡に使用する言語は、日本語又は英語になります。ST、評価報告書、証拠資料についても使用する言語は、日本語又は英語となります。
法人格を証明する書類等の原文が日本語又は英語のいずれでもない場合は、原文に加えて、日本語訳又は英語訳を提出してください。
保証継続における再評定の仕組みを用いて、認証有効期限及び認証製品リストの掲載期限を延長することができます。
認証手数料は、対象プロテクションプロファイルで求められる保証コンポーネントに相当する保証レベルに準じます。認証プロテクションプロファイルリストの「要求する保証要件」を確認願います。
EAL |
Evaluation Assurance Levelの略。
|
---|---|
OSP |
Organisational Security Policyの略。 |
SAR |
Security Assurance Requirementの略。 |
SFP |
Security Functional Policyの略。 |
SFR |
Security Functional Requirementの略。 |
TOE |
Target Of Evaluationの略。 |
TSF |
TOE Security Functionalityの略。 |
オブジェクト |
情報を格納または受信し、サブジェクトによる操作の実行対象となるTOE内の受動的なエンティティのこと。 |
サブジェクト |
オブジェクトに対して操作を実行するTOEの能動的なエンティティのこと。 |
2023年12月15日
「再評定」の導入に伴い、一部の記載を更新しました。
2023年11月1日
CC/CEM:2022へのバージョンアップに伴い、一部の記載を更新しました。