情報セキュリティ
最終更新日:2022年9月7日
保証継続は、認証製品に対する変更がなされた場合でも、すでに実施された評価作業を再度繰り返して実施する必要がないと認めるものです。その変更が、評価され認証されたセキュリティ事項への影響が小さいと判断された場合、認証機関は変更された製品に対しても認証を維持する仕組みです。
これによりIT製品のような速いサイクルでバージョンアップ等がされる認証製品についても、安全な認証製品として市場へのタイムリーな提供が可能となります。また、維持された認証結果もCCRAの相互承認の対象となります。
ただし、開発者は、認証済みTOEに対する一つ又は複数の変更が、保証レベルにおいてセキュリティへの影響を分析し、影響分析報告書として報告しなければなりません。そのためには、技術的背景とともに十分な検査が実施される必要があります。
保証継続が対象とする認証TOEに対する「変更」は、認証TOEから派生した新製品や新機能を意図するものではありません。認証TOEで評価されたセキュリティ機能仕様範囲において、ソフトウェアやガイダンスの不具合の修正やTOEの機能自体に変更のない動作環境の追加など、第三者による評価を実施せずとも、開発者(申請者)が自らの責任で保証に対する悪影響がないことを実証ならびに宣言できる「変更」のみが保証継続の条件となります。
変更がセキュリティ上どのように影響があるかの判断は、認証TOEが保証する範囲の理解と開発者分析による主張により行われます。変更が、認証TOEが保証する範囲に明らかに係らない場合、変更TOEは認証維持の対象となります。
変更が、認証TOEが保証する範囲に明らかに係る場合、その影響が大きい(major)のであれば認証維持は適用できず、新規の評価としての申請が必要となります。影響が小さい(minor)のであれば、その主張とともに影響分析報告書を作成することになります。なお、影響分析報告書作成の際には、参考資料 「影響分析報告書 作成ガイダンス」をご参照ください。
保証継続の概念、大まかな手順、影響分析報告書の構成などについては、参考資料「保証継続:CCRA要求事項Ver2.1(日本語版)」をご参照ください。また、保証継続の判断基準、影響分析報告書作成に当たっての記述事例などを「影響分析報告書 作成ガイダンス」として掲載してあります。
「影響分析報告書 作成ガイダンス」は、保証継続が適用される範囲についての考え方と影響分析報告の記述事例を示した参考文書です。本資料の付録には「認証維持適用のためのチェックリスト」が掲載されており、変更箇所が保証範囲にどのように影響するかをチェックするための項目が記述されています。詳細な影響分析を行う前に本チェックリストにより影響の範囲を把握し、認証維持の対象とするかの判断に利用することができます。
申請者は、保証継続の申請に先立って、認証機関に「影響分析報告書」の事前レビューを依頼し、保証継続の妥当性を確認します。
以下の(1)の依頼書及び(2)、(3)の資料を作成して、申請担当者からの電子メールにより次のメールアドレス宛に送付してください。
申請書等は様式集ダウンロード(認証申請)から入手してください。
申請担当者の記名がされているものをスキャンしてPDFファイルに変換してください。
申請者は、当該製品が認証に影響を与えないことを証明するものとして、「影響分析報告書」を作成します。 チェックリストで再評価の必要がないと判断された場合、その根拠となる分析を記述してください。
上記の「影響分析報告書 作成ガイダンス」に記載された章構成に従い記述していただきますが、章構成以外の記述形式は任意であり、定型フォーマットはありません。
申請者は、「チェック項目」の内容について、該当すれば「Yes」、該当しなければ「No」の判定をし、その欄の「保証継続可否の判断」に従ってチェックを進めます。
申請者は、事前レビューにて保証継続の妥当性が確認されましたら、
に従って申請を行ってください。申請に必要な書類は以下のとおりです。
申請書等は様式集ダウンロード(認証申請)から入手してください。
対象となるTOEの変更概要を記述します。
申請責任者が記名押印又は署名してください。申請責任者から権限を委任されている場合には、申請責任者の「委任状」を添付してください。(以前提出した「委任状」が有効期間内であれば、その写しでかまいません。)
事前レビューにて「サブセット評価」が必要と通知された場合は、上記のほか次の書類の提出が必要です。様式集ダウンロード(認証申請)から入手してください。
変更TOEのSTを公開する場合は、STのPDFファイルを電子媒体で提出してください。提出されたPDFファイルをそのまま公開しますので、PDFファイルのプロパティにも注意してください。
変更TOEのSTを公開するかどうかは、以下の基準に基づいて判断してください。
英文保証継続報告書の発行は、21 英文認証報告書・英文STの掲載の「保証継続報告書」を参照してください。
認証機関に提出された上記に掲げる書類に不備がなければ、受付番号、受付日が申請者
に連絡されます。提出された書類に不備がある場合は、申請者に対して期限を定めて必要
な書類の提出を指示しますので、速やかに対応してください。