情報セキュリティ
最終更新日:2003年6月16日
これまでの日本国内には、欧米各国のようなITセキュリティ評価・認証制度、セキュリティ評価基準がありませんでしたが、経済産業省を始めとする関係各機関の協力により、2001年4月、「ITセキュリティ評価・認証体制」の運用が始まりました。
我が国における評価基準と、制度運用開始に至るまでの主な取り組みを簡単に紹介します。
→非関税障壁化、相互承認拒否、相互接続拒否のおそれ
情報システムの利用の進展により、社会システム、社会生活のすべての局面においてコンピュータとネットワークが不可欠のものとなっています。
言い換えれば、コンピュータとネットワークへの依存度がかつて無かったほど高まり、これらの完全な稼動が行われないときは大きなパニックに陥る危険が増大しています。
また、技術のオープン化とインターネット利用は、情報システムの急激な進歩とコストダウンをもたらす反面、外部からの好ましからざる擾乱を受けやすくなったと言う弱点も同時にもたらしました。
この危険に対する対応策が、セキュリティと呼ばれる一連の手段と運用です。特に経験の深い欧米では、情報社会の秩序を形成する要として位置づけられ、各国とも政府が中心になって施策を推進しています。民間もまた日本とは比較にならない関心とそのためのコストを投じています。
しかしセキュリティはその守備範囲も広く、全貌をつかみにくいのが現実です。そのため、セキュリティに対する投資効果が見えにくく、投資をしたにも関わらず、十分な効果が得られなかったり、また、想定される脅威への対策が不十分であったりすることがあります。これに対する一つの解を提供するのが、セキュリティ評価基準です。
ITセキュリティ評価・認証は個々の対策や技術を深く追求するのでなく、情報システムやそれを構成する機器やソフト(OSを含む)について、セキュリティ機能全般及び目標とするセキュリティレベルを、標準化されたセキュリティ評価基準に基づいて評価し、その評価過程と結果を認証機関が認める(認証する)もので、そのための仕組がセキュリティ評価・認証制度です。
CCプロジェクトに参加する欧米の先進主要5ヶ国(ドイツ・イギリス・カナダ・アメリカ・フランス)はすでに制度が運用されており、政府調達製品などで高いセキュリティを必要とする場合は認証を受けていることが要件となっています。
また5ヶ国以外にも自国の評価基準と制度に基づく運用を行っている国があります。
セキュリティ評価基準の歴史は、米国国防総省下のNSA(国家安全保障局)内のNCSC(米国コンピュータセキュリティセンタ)により、 軍用調達のためのコンピュータ製品評価基準として1983年にTCSEC(通称オレンジブック)が作成され、1985年の改定を経て国防総省標準となったことに始まります。以来、NCSCはTCSECを基準にして、国防総省をはじめ米国政府が調達するIT製品の評価を行ってきました。またTCSECは軍や政府調達の評価基準として欧州各国に大きな影響を与え、TCSECの軍用調達に偏った面の是正を図るなど、 各国で改善された評価基準作りが進められました。
1990年になるとISOが評価基準を国際標準として開発することを決定し、ISO/IEC JTC1/SC27/WG3にその任務を与えました。しかしながら国際間の調整に難航するなど標準作りは捗りませんでした。
この間に、英国、ドイツ、フランス、オランダの欧州4カ国は協力して統一評価基準ITSECを作成し、これが1991年に欧州委員会から発行されました。ITSECは機能要件と保証要件を分離し、評価手法ITSEMを明確にするなど、その後のCCプロジェクトが目指したものの基礎を作りました。
英国、ドイツ、フランスは、IT製品の評価に民間評価機関を参加させ、その結果を政府機関が認証する新しい制度を立ち上げました。さらに欧州4カ国は、各国政府機関が認証した結果を互いに認め合うことを合意し、セキュリティ評価の相互承認が開始されました。
カナダも1993年にITSECとTCSECを参考に評価基準CTCPECを作成しました。
米国は、TCSEC、ITSECの統合を目指して1993年に新しい評価基準FCを起草しましたが、実用されるには至りませんでした。しかし、これがもとになり、1993年6月に、CTCPEC、FC、TCSEC、ITSECを主唱してきた下記6カ国7組織の代表者が、 それぞれの基準を統一してISO標準を目指した評価基準CCを作成することに合意し、計画はCCプロジェクトと名付けられました。プロジェクトは各組織の代表者からなる会議により運営されています。
CCプロジェクト発足により、先ずCCを編集するグループとして、各組織を代表する専門家によりCCEBが結成されました。次いでCCEBはJTC1/SC27/WG3との連絡チャネルを確立し、これを通して1994年以来、CCEBとWG3の連携が進められました。
1996年1月にはCCEBの成果としてCC第1版が完成し、同年6月にはWG3を通してISOのCDとして承認されました。
これによりCCEBは解散し、新しいCC作成グループCCIBがCC開発の役割を引き継ぎました。CCIBにはより技術的な課題、すなわち第1版へのフィードバックやCCプロジェクトにおける各国の試行結果を把握してCC第1版を改定する任務が与えられました。
さらにプロジェクトの目的を補うために、次の3つのタスクグループが設けられました。
CCIBは1997年10月にCC第2版ベータ版を完成させ、WG3を通してCC第2版CDとして承認されました。さらにISOのフィードバックの手続きに従って検討が進められ、1998年5月に最終草案FCDとなりました。その後はFCDの投票により細部補正がなされ、1998年10月に最終標準案FDISが作成されました。このFDISは国際投票の結果、1999年6月に国際規格(ISO/IEC 15408)として承認されました。
CCIBは任務を果たしたことで終了し、今後のCC解釈の統一や内容のメンテナンスを担う新しいグループCCIMBに役割を引き継ぎました。
CCプロジェクトの重要な目標が国際的な相互承認を可能にすることにありました。
しかしながら、プロジェクト当初はCCの編集に活動を傾注せざるを得なかったためか、それ以外の活動は遅れて開始され、 プロジェクトの公開情報は技術面に偏っていました。
相互承認については1998年10月になって初めて、相互承認に関する協定書として内容が公開されました。
同時にカナダ、フランス、ドイツ、イギリス、アメリカ、の5ヶ国は協定書にサインし、 国際的な相互承認の枠組みのスタートが宣言されました(この時点では、制度を持たないオランダは不参加)。
相互承認を可能にするためには、相互の同等性、すなわち参加国の制度が殆ど同じであることが必要で、 これをどの様に規定し、点検し、維持するかを協定書は定めています。
協定書は同時に新規参加を希望する国に対する参加条件を定めています。新規参加に際しては、協定国の審査を受け、 同等の制度を実施していることを証明しなければなりません。
相互承認により、各国のセキュリティ評価認証のレベルの統一(相互承認はEAL1~EAL4までに適用)が図られ、 協定国内における認証製品の相互利用が促進されることが期待されます。
この相互承認の協定書は、2000年5月に改定されました。主な改定内容は、参加するメンバーのカテゴリーを 「Certificate authorising participants」及び「Certificate consuming participants」の2種類に分類したことと、 これまでは認証機関を政府機関のみとしていましたが、民間団体が認証機関になることを認めたことです。
これに伴い、相互承認の名称も「Mutual Recognition Arrangement」から「Recognition Arrangement」となりました(略称はCCRA)。
「Certificate authorising participants」は、従来からあるメンバーのカテゴリーです。 今回追加された「Certificate consuming participants」は、「Certificate authorising participants」とは異なり、 国内に制度を持たないが、他の参加国で認証された製品又はシステムを受け入れるというものです。
Alternative Assurance
Common Criteria
Common Criteria Editorial Board
Common Criteria Implementation Board
Common Criteria Interpretation and Management Board
Committee Draft
Canadian Trusted Computer Product Evaluation Criteria
Federal Criteria for Information Technology Security
Final Committee Draft
Final Draft International Standard
International Electrotechnical Commission
Information Technology Security Evaluation Criteria
Information Technology Security Evaluation Manual
International Organization for Standardization
Joint Technical Committee 1/Subcommittee 27/Working Group 3
Mutual Recognition Arrangement
National Computer Security Center
Trusted Computer Systems Evaluation Criteria