HOME >> 情報セキュリティ >> ITセキュリティ評価及び認証制度(JISEC) >> 保証継続

保証継続

更新日:2017年12月12日

保証継続とは

保証継続は、認証製品に対する変更がなされた場合でも、すでに実施された評価作業を再度繰り返して実施する必要がないと認めるものです。その変更が、評価され認証されたセキュリティ事項への影響が小さいと判断された場合、認証機関は変更された製品に対しても認証を維持する仕組みです。
これによりIT製品のような速いサイクルでバージョンアップ等がされる認証製品についても、安全な認証製品として市場へのタイムリーな提供が可能となります。また、維持された認証結果もCCRAの相互承認の対象となります。

ただし、開発者は、認証済みTOEに対する一つ又は複数の変更が、保証レベルにおいてセキュリティへの影響を分析し、影響分析報告書として報告しなければなりません。そのためには、技術的背景とともに十分な検査が実施される必要があります。

保証継続の判断について

保証継続が対象とする認証TOEに対する「変更」は、認証TOEから派生した新製品や新機能を意図するものではありません。認証TOEで評価されたセキュリティ機能仕様範囲において、ソフトウェアやガイダンスの不具合の修正やTOEの機能自体に変更のない動作環境の追加など、第三者による評価を実施せずとも、開発者(申請者)が自らの責任で保証に対する悪影響がないことを実証ならびに宣言できる「変更」のみが保証継続の条件となります。

変更がセキュリティ上どのように影響があるかの判断は、認証TOEが保証する範囲の理解と開発者分析による主張により行われます。変更が、認証TOEが保証する範囲に明らかに係らない場合、変更TOEは認証維持の対象となります。

変更が、認証TOEが保証する範囲に明らかに係る場合、その影響が大きい(major)のであれば認証維持は適用できず、新規の評価としての申請が必要となります。影響が小さい(minor)のであれば、その主張とともに影響分析報告書を作成することになります。なお、影響分析報告書作成の際には、参考資料 「影響分析報告書 作成ガイダンス バージョン2.0」をご参照ください。

参考資料

保証継続の概念、大まかな手順、影響分析報告書の構成などについては、参考資料「保証継続:CCRA要求事項Ver2.1(日本語版)」をご参照ください。また、保証継続の判断基準、影響分析報告書作成に当たっての記述事例などを「影響分析報告書 作成ガイダンス バージョン2.0」として掲載してあります。


本資料は、保証継続が適用される範囲についての考え方と影響分析報告の記述事例を示した参考文書です。本資料の付録には「保証継続適用のためのチェックリスト」が掲載されており、変更箇所が保証範囲にどのように影響するかをチェックするための項目が記述されています。詳細な影響分析を行う前に本チェックリストにより影響の範囲を把握し、保証継続の対象とするかの判断に利用することができます。

保証継続の準備 (事前レビュー)

申請者は、保証継続の申請に先立って、認証機関に「影響分析報告書」の事前レビューを依頼し、保証継続の妥当性を確認します。
以下の(1)の依頼書及び(2)、(3)の資料を作成して、JISEC mail address宛に送付してください。
なお、資料の暗号化が必要な場合には、事前にご相談ください。
申請書等は様式集ダウンロード(認証申請)から入手してください。
(1) 「保証継続事前レビュー依頼書」(CCM-02-A 様式20)
申請担当者の記名押印または署名がされているものをスキャンしてPDFファイルに変換してください。
(2) 「影響分析報告書」の作成
申請者は、当該製品が認証に影響を与えないことを証明するものとして、「影響分析報告書」を作成します。 チェックリストで再評価の必要がないと判断された場合、その根拠となる分析を記述してください。
上記の「影響分析報告書 作成ガイダンス バージョン2.0」に記載された章構成に従い記述していただきますが、章構成以外の記述形式は任意であり、定型フォーマットはありません。
(3) 「保証継続適用のためのチェックリスト(影響分析報告書作成ガイダンス付録)」の作成
申請者は、「チェック項目」の内容について、該当すれば「Yes」、該当しなければ「No」の判定をし、その欄の「保証継続可否の判断」に従ってチェックを進めます。

保証継続の申請

申請者は、事前レビューにて保証継続の妥当性が確認されましたら、
ITセキュリティ認証等に関する要求事項(CCM-02)pdf
ITセキュリティ認証申請等のための手引(CCM-02-A)pdf
に従って申請を行ってください。申請に必要な書類は以下のとおりです。

申請書等は様式集ダウンロード(認証申請)から入手してください。
(1) 「保証継続申請書」(CCM-02-A 様式2)
  対象となるTOEの変更概要を記述します。
申請責任者が記名押印又は署名してください。申請責任者から権限を委任されている場合には、申請責任者の「委任状」を添付してください。(以前提出した「委任状」が有効期間内であれば、その写しでかまいません。)
(2) 「影響分析報告書」 (1部)

事前レビューにて「サブセット評価」が必要と通知された場合は、上記のほか次の書類の提出が必要です。様式集ダウンロード(認証申請)から入手してください。
(3) 「評価作業実施計画書」(CCM-02-A 様式4)
(4) 「評価の独立性・公平性チェックリスト」 (CCM-02-A 様式5-1及び5-2)

変更TOEのSTを公開する場合は、STのPDFファイルを電子媒体で提出してください。提出されたPDFファイルをそのまま公開しますので、PDFファイルのプロパティにも注意してください。
(5) ST
変更TOEのSTを公開するかどうかは、以下の基準に基づいて判断してください。
  (a) 認証TOEのSTを公開していない場合、変更TOEのSTの公開も不可となります。
  (b) 認証TOEのSTを公開しており、STの更新の内容がTOEのバージョンの変更とそれに伴う変更(STのバージョンの変更等)に限られる場合、変更TOEのSTの公開は任意となります。
  (c) 認証TOEのSTを公開しており、STの更新の内容が(b)で示した内容に限らない場合(動作環境の変更等)、変更TOEのSTの公開は必須となります。

英文保証継続報告書の発行

保証継続申請の受付

認証機関に提出された上記に掲げる書類に不備がなければ、受付番号、受付日が申請者
に連絡されます。提出された書類に不備がある場合は、申請者に対して期限を定めて必要
な書類の提出を指示しますので、速やかに対応してください。