目 次 1. IT セキュリティ評価及び認証制度の概要 制度の目的 国際標準に基づくセキュリティ要件 調達での活用 セキュリティ要件の例 ITセキュリティ評価の共通基準( 国際標準 ) CC 評価の概要 国際的な承認アレンジメント(CCRA) 2. 認証申請者に係る手続き 認証取得までの流れ 保証継

Transcription

1 IT セキュリティ評価及び認証制度の概要 平成 26 年 7 月 28 日 独立行政法人情報処理推進機構技術本部セキュリティセンター

2 目 次 1. IT セキュリティ評価及び認証制度の概要 制度の目的 国際標準に基づくセキュリティ要件 調達での活用 セキュリティ要件の例 ITセキュリティ評価の共通基準( 国際標準 ) CC 評価の概要 国際的な承認アレンジメント(CCRA) 2. 認証申請者に係る手続き 認証取得までの流れ 保証継続 認証取得者の遵守事項 3. 評価機関承認に関する手続き 評価機関の役割 評価機関の承認条件 認定 承認の流れ 評価作業の実際 独立性 公平性の確保 2

3 1. IT セキュリティ評価及び認証制度の概要 制度の目的 (1) 出典 :( 経済産業省のウェブページより ) 3

4 1. IT セキュリティ評価及び認証制度の概要 制度の目的 (2) < 制度の目的 > 市販のIT 製品 を政府機関で安全に活用すること 政府機関統一基準 情報システムの企画 要件定義 遵守事項 (2) 情報システムのセキュリティ要件の策定 (c) 情報システムセキュリティ責任者は 機器等を調達する場合には IT 製品の調達におけるセキュリティ要件リスト を参 照し 利用環境における脅威を分析し た上で 当該機器等に存在する情報セ キュリティ上の脅威に対抗するためのセキュリティ要件を策定すること IT 製品の調達におけるセキュリティ要件リスト セキュリティ要件セキュリティ方針 脅威 ( 攻撃者 ) セキュリティ対策方針 評価基準 IT 製品 評価方法 IT 製品は評価基準 評価方法に基づきセキュリティ要件を満たしていることを評価される 保護資産 ( 重要データ プログラム 設定情報 ) 4

5 1. IT セキュリティ評価及び認証制度の概要 制度の目的 (3) IT 製品の調達におけるセキュリティ要件リスト < 対象製品分野 >6 分野 1 デジタル複合機 (MFP) 2 ファイアウォール 3 不正侵入検知 / 防止システム (IDS/IPS) 4OS( サーバ OS に限る ) 5 データベース管理システム (DBMS) 6 スマートカード (IC カード ) < 対象候補 >1 分野 7USB メモリ < 要件リストの活用 > 各分野における脅威に対抗するセキュリティ要件の実装 及び要件が正確に実装されていることを検査することが求められている 同時に 各分野におけるセキュリティ要件を満たすため それぞれに対応するプロテクションプロファイル (PP) がどの脅威に対抗しているかを記載している これらの PP 適合評価に合格した認証製品は 自動的にこれらのセキュリティ要件を満たすものとなる また 認証取得見込 ( 評価中 ) の製品については 調達側の判断で調達時の要件として認めることも可能である 5

6 1. IT セキュリティ評価及び認証制度の概要 IT セキュリティに関する国際標準 < 制度の目的 > 市販のIT 製品 を政府機関で安全に活用すること 情報セキュリティ管理 ISO セキュリティ要件 :PP 製品セキュリティ評価 ISO15408 リスク分析管理策の適用有効性評価 PDCAによる管理 調達仕様セキュリティ仕様開発 ( 設計 製造 ) テスト設置 運用 廃棄ライフサイクル支援 第三者による評価 ST 評価 ( 基本仕様 設計書 ) 評価機能テスト 侵入テストガイダンス評価 ( 構成管理 配付手続 ) 評価 ISO/IEC ISO/IEC 15408(CC)/18045(CEM) 6

7 1. IT セキュリティ評価及び認証制度の概要 国際標準に基づくセキュリティ要件 1 プロテクションプロファイルとは IT 製品の使用事例を明確にし 使用に際して考慮すべきセキュリティ上の保護資産に対する脅威 対抗するためのセキュリティ対策方針 前提条件 組織のセキュリティ方針等により 十分対策が取れることを記述し IT 製品が実装するべき セキュリティ機能要件 評価機関が実施するべき セキュリティ保証要件 について ISO/IEC 15408(CC) に基づいて記述した 適合すべき最低限のセキュリティ要件 である 7

8 1. IT セキュリティ評価及び認証制度の概要 国際標準に基づくセキュリティ要件 2 1 セキュリティ機能の適切性が評価されていること 2 セキュリティ機能の正確性が評価されていること 3 評価のための基準が統一 公表されていること 4 専門知識を持つ第三者 ( 利用者 調達者の代わり ) が実際の開発資料等を用いて評価すること 5 評価結果に対して客観的な保証が得られること 国際標準 ISO/IEC 15408(CC) に基づくセキュリティ要件 プロテクションプロファイル (PP) 8

9 1. IT セキュリティ評価及び認証制度の概要 政府調達での活用 対象製品分野 デジタル複合機 (MFP) IEEE Std TM PP_HCD_BR_V1.0 国際標準に基づくセキュリティ要件 USG Approved Protection Profile PP_HCD_EAL2_V1.0 ファイアウォール USG Protection Profile PP_TFFW_BR_V1.1 USG Approved Protection Profile PP_ND_TFFW_EP_V1.0 不正侵入検知 / 防止システム (IDS/IPS) OS( サーバ OS に限る ) USG Protection Profile PP_IDS_SYS_BR_V1.7 Operating System Protection Profile BSI-CC-PP-0067 Version 2.0 USG Protection Profile for General- Purpose Operating Systems in a Network Environment Ver.1.0 Genral Purpose Operating System Protection Profile Version3.9 PP_GPOS_V3.9 データベース管理システム (DBMS) USG PP for Database Management Systems Ver.1.3 PP_DBMS_V1.3 スマートカード (IC カード ) 旅券冊子 IC のためのプロテクションプロファイル - 能動認証対応第 1.00 版 住民基本台帳カード Version2 組込みソフトウェアプロテクションプロファイル 1.00 組込み危機向けセキュア IC チッププロテクションプロファイル第 1.0 版 個人番号カードプロテクションプロファイル第 1.00 版 9

10 1. IT セキュリティ評価及び認証制度の概要 セキュリティ要件の例 分野 PP 名称発行日 ネットワーク基盤 PP_ND_V /6/8 ファイアウォール PP_ND_TFFW_EP_V /12/19 VPN ゲートウェイ PP_ND_VPN_GW_EP_V /4/15 IPsec VPN クライアント PP_VPN_IPSEC_CLIENT_V /10/23 SIP サーバー PP_ND_SIP_EP_V /2/6 無線 LAN アクセスポイント 無線 LAN クライアント PP_WLAN_AS_V /12/1 PP_WLAN_CLI_V /12/19 汎用 OS PP_GPOS_V /1/15 モバイルデバイス基盤 モバイルデバイス管理 USB フラッシュドライブ ソフトウェアフルディスク暗号化 PP_MD_V /2/18 PP_MDM_V /3/7 PP_USB_FD_V /12/1 PP_SWFDE_V /3/31 分野 PP 名称発行日 VOIP アプリ PP_VOIP_V /10/23 クライアント PP_ CLIENT_V /4/1 Web ブラウザ PP_WEBBROWSER_V /3/31 BIOS アップデート PP_BIOS_V /2/13 企業セキュリティ管理ポリシー管理 企業セキュリティ管理アクセス制御 企業セキュリティ管理 ID クレデンシャル管理 データベース管理システム PP_ESM_PM_V /11/21 PP_ESM_AC_V /11/12 PP_ESM_ICM_V /11/21 PP_DBMS_V /12/24 デジタル複合機 PP_HCD_EAL2_V /2/26 デジタル複合機 PP_HCD_BR_V /6/12 IDS( 侵入検知システム ) pp_ids_sys_br_v /7/25 認証局 PP_CA_V /5/16 10

11 国際標準 ISO/IEC 15408(CC) コモンクライテリア 11

12 1. IT セキュリティ評価及び認証制度の概要 IT セキュリティ評価の共通基準 ( 国際標準 )1 ISO/IEC 15408(CC) ISO/IEC (CEM) CC Part1 CC Part2 CC Part3 CEM 用語定義概要の解説 機能要件集 保証要件集 評価方法 パスワードが [ 定義された品質尺度 ] に合致することを検証するメカニズムを提供しなければならない 監査対象事象の監査記録を生成できなければならない セキュリティ機能の正常動作を実証するために [ 初期立ち上げ中に ] 自己テストを実行しなければならない 開発者は 機能仕様を提供しなければならない 機能仕様は 完全に評価対象のセキュリティ機能を表現しなければならない 評価者は 機能仕様が セキュリティ機能要件の正確かつ完全な具体化であることを決定しなければならない 保証要件の評価のための方法を詳細化 設計書 ソースコード マニュアル テスト 脆弱性 開発環境などに関する要求事項 CC : Common Criteria CEM : Common Evaluation Methodology * 説明会用の資料として CC の記載内容から表現を尐し変更しています 12

13 1. IT セキュリティ評価及び認証制度の概要 IT セキュリティ評価の共通基準 ( 国際標準 ) 年 6 月現在 CC (Common Criteria) CC V3.1 Release 1 (Part 1,2,3 から成る 以下同じ ) 発行 CC V3.1 Release 2(Part2, 3 のみ ) 発行 CC V3.1 Release 発行 CC V3.1 Release 発行 ( 注 2) ISO/IEC 15408( 注 1) - ISO/IEC :2008, ISO/IEC : 発行 (Part2,3のみ) ISO/IEC : 発行 (Part1のみ) IT セキュリティ評価及び認証制度 (JISEC) CC V3.1 Release1 英語版規格化 CC V3.1 改訂第 1 版翻訳第 1.2 版規格化 CC V3.1 Release2 英語版及び CC V3.1 改訂第 2 版翻訳第 2.0 版規格化 CC V3.1 Release3 英語版及び CC V3.1 改訂第 3 版翻訳第 1.0 版規格化 CC V3.1 Release4 英語版及び CC V3.1 改訂第 4 版翻訳第 1.0 版規格化 CEM (Common Evaluation Methodology) CEM V3.1 Release 発行 CEM V3.1 Release 発行 CEM V3.1 Release 発行 CEM V3.1 Release 発行 ( 注 2) ISO/IEC 18045: 発行 ISO/IEC ( 注 1) IT セキュリティ評価及び認証制度 (JISEC) CEM V3.1 Release1 英語版規格化 CEM V3.1 改訂第 1 版翻訳第 1.2 版規格化 CEM V3.1 Release2 英語版及び CEM V3.1 改訂第 2 版翻訳第 2.0 版規格化 CEM V3.1 Release3 英語版及び CEM V3.1 改訂第 3 版翻訳第 1.0 版規格化 CEM V3.1 Release3 英語版及び CEM V3.1 改訂第 4 版翻訳第 1.0 版規格化 注 1:CC V3.1 相当の ISO/IEC 及び は Revision レベルの整合がないため JISEC 規格として採用はできない状況である 注 2: JISEC では 最新の CC V3.1Release4 CEM V3.1Release4 並びにそれらの日本語への翻訳版を規格化している 13

14 1. IT セキュリティ評価及び認証制度の概要 IT セキュリティ評価の共通基準 ( 国際標準 )3 セキュリティ機能に求められること 適切性情報資産を守るために必要十分な機能を持っているのか 正確性機能は正しく実装され確実に動作するのか 本当に安全であるかどうか確信できない どれだけの脅威に対抗できるのかわからない ( 開発者の主張を受け入れるしかない ) 脅威に対抗するために必要十分な機能が実装されていること 実装に不備がないこと ( 脆弱性がないこと ) を客観的に主張できない 利用者 調達者 開発者 専門知識を持つ第三者による客観的なセキュリティ評価の必要性 14

15 1. IT セキュリティ評価及び認証制度の概要 IT セキュリティ評価の共通基準 ( 国際標準 )4 保護資産と 脅威等 ( セキュリティ課題 ) の洗い出し 脅威 保護資産 ST: セキュリティターゲット ( セキュリティ設計仕様書 ) セキュリティ課題への対策方針の決定 対策方針 1 対策方針 2 対策方針 3 ST で論理展開しセキュリティ機能の必要十分性を評価 適切性の保証 セキュリティ機能 1 セキュリティ機能 2 セキュリティ機能 3 セキュリティ機能 4 対策方針を満たすセキュリティ機能要件の決定 15

16 1. IT セキュリティ評価及び認証制度の概要 IT セキュリティ評価の共通基準 ( 国際標準 )5 要件分析 / 定義 基本設計 詳細設計 プログラム設計 プログラム実装 各種テスト 設置 運用 セキュリティターゲット機能仕様 内部設計 詳細設計ソースコード開発環境 テスト仕様テスト結果 設置マニュアル運用マニュアル 構成管理 配付手続き セキュリティ機能の正確性をライフサイクル全体として保証 脆弱性を生み出さない仕組み作り 定義された機能要件の正確性を どの範囲まで評価して保証するのか どこまで詳細に調査するのか 正確性の保証における厳密さを規定するための指標 EAL: 保証レベル (Evaluation Assurance Level) 16

17 1. IT セキュリティ評価及び認証制度の概要 IT セキュリティ評価の共通基準 ( 国際標準 )6 保証範囲 EAL1 EAL2 EAL3 EAL4 EAL5 機能仕様 ( 外部 I/F) 利用者ガイダンス等内部設計 配付手続き 開発者テスト 開発資料からの脆弱性分析等開発現場のセキュリティ 開発者テストの深さ ( 詳細度 ) 分析等ソースコード 開発環境 ( ツール ) 等準形式的 ( フローチャート等の図式を用いた曖昧ではない ) 設計資料等 CCRA における相互承認の対象 評価方法の規定 (CEM) EAL6,7 各国の制度による ( 軍需品など特別な用途のため ) 保証レベルはセキュリティ機能の確かさ ( 保証の度合い ) を示す 保証レベルが高くなるほど確認される範囲 ( 証拠資料 ) が広くなり 確認される詳細度が深くなる 17

18 1. IT セキュリティ評価及び認証制度の概要 IT セキュリティ評価の共通基準 ( 国際標準 )7 資質を持った評価者 認証者が専門知識を適用 評価者 セキュリティのプロによる評価 規格の理解 製品仕様の十分な理解 IT に関する見識 客観的な立場 セキュリティに関する見識 各種資料の検査各種設計書脆弱性分析ソースコードテスト仕様マニュアル : 現地調査テストの実施開発環境評価者独立テスト : 侵入テスト 認証者 規格 (CC) のプロによる確認 評価報告書の検証 認証書 規格への準拠 評価の妥当性 再現性 最終利用者に対する説明責任 現地調査 テストへの立会い 認証書の発行 18

19 1. IT セキュリティ評価及び認証制度の概要 日本の評価 認証スキーム (JISEC) 申請者 ( 開発者等 ) 主な役割 開発時の設計文書の開示 開発記録等の情報提供 1 調達要件を提示 9 認証製品を提供 調達者 ( 政府機関 民間企業等 ) 主な役割 調達要件の提示 調達要件を満たす製品の選定 調達 2 評価依頼 4 評価結果 ( 問題指摘 ) 評価機関 ( 民間企業等 1) 主な役割 第三者的立場での評価 評価結果の報告 3 認証申請 4 評価結果 ( 問題指摘 ) 5 技術指導 監督 6 評価報告 ( 最終 ) 認証書 7 個別製品毎に認証 8 認証製品リスト Web 公開 認証機関 (IPA) 主な役割 評価結果の認証 評価機関の承認 及び監督 制度の維持 運営 CCRA への対応 1: 評価機関 (2014 年 5 月現在 以下の 5 社 ) 一般社団法人 IT セキュリティセンター評価部 [ 製品分野 :SW] 株式会社 ECSEC Laboratory 評価センター [ 製品分野 :SW HW( スマートカード等 )] みずほ情報総研株式会社情報セキュリティ評価室 [ 製品分野 :SW] TÜV Informationstechnik GmbH Evaluation Body for IT-Security [ 製品分野 :SW] Brightsight bv [ 製品分野 :HW( スマートカード等 )] IT セキュリティ評価及び認証制度の運営を監督 経済産業省 19

20 1.IT セキュリティ評価及び認証制度の概要 国際的な承認アレンジメント (CCRA) 1 IT セキュリティ評価 認証制度を運用し 試行認証審査に合格した国 ( 認証書生成国 ) が発行する認証書を相互に承認する枠組みとして CCRA が創設された 日本 イギリス オランダ カナダ アメリカ ノルウェー フランス オーストラリア 韓国 ドイツ ニュージーランド スペイン 日本で認証された製品は 他の加盟国でも同等に扱う 海外の認証書生成国で認証された製品は 日本でも同等に扱う スウェーデンインドフィンランドハンガリー イタリアトルコマレーシア 認証書生成国 :17 か国 ギリシャ イスラエル オーストリア チェコ シンガポール デンマーク CCRA 公式サイト パキスタン 2014 年 6 月現在 20

21 1.IT セキュリティ評価及び認証制度の概要 国際的な承認アレンジメント (CCRA) 2 CCRA の改革が進行中 セキュリティ評価結果の再現性 透明性 費用対効果の高い 達成可能なセキュリティ要件 (cpp) を開発する 原則 cpp 適合評価について 相互承認を行う cpp ごとにサポート文書 ( 具体的評価手法を記述 ) を作成 cpp 適合評価でない場合 相互承認は EAL2 まで ( これまでは EAL4 まで ) 新アレンジメントの署名後 猶予期間として 36 ヶ月は EAL4 まで相互承認 CCRA 公式サイト 21

22 認証申請者に係る手続き 認証申請 保証継続申請 認証取得者の義務 22

23 2.IT セキュリティ評価及び認証制度の手続き 認証取得までの流れ 1 事例 政府調達のために 〇〇製品の評価 認証を受けたい ステップ 1 IT 製品の調達のためのセキュリティ要件リスト を参照し 対象分野かどうかをチェックする 対象分野 ( 又は対象候補 ) である場合 : 国際標準に基づくセキュリティ要件 (PP) に適合する製品として セキュリティ評価する必要があります PP に記載されているセキュリティ機能要件に対応したセキュリティ仕様書 ( セキュリティターゲット :ST) を作成する 対象分野でない場合 : 類似の製品のセキュリティ要件を参考にするか 調達者にセキュリティ要件について確認を行い 脅威に対抗するセキュリティ手段を明確にする 23

24 2.IT セキュリティ評価及び認証制度の手続き 認証取得までの流れ 2 ステップ 2 ST に基づく製品の開発 ST の TOE 概要 セキュリティ課題定義 セキュリティ対策方針 については 開発者自身が作成し 理解しておく 基本設計において ST に記載したセキュリティ機能要件を実行するためのインタフェースを識別する 詳細設計 プログラム設計 実装において 基本設計と矛盾なく正確に実装まで落とし込む 製造 検査において ST に記載した通り動作することをテストにより確認する 出荷 設置 運用において 評価された製品が正しく利用者に届く 品質システムに従い上記の開発を行い 各種記録を維持する 24

25 2.IT セキュリティ評価及び認証制度の手続き 認証取得までの流れ 3 ステップ 3 評価の依頼 評価機関を選定し 評価作業の依頼を行う 評価機関の示すスケジュール 評価契約の内容を確認し 秘密保持契約についても同時に締結する ( 評価機関の責任に帰す評価作業上の瑕疵により再評価が発生した場合の費用について事前に合意しておくとよい ) 認証申請 評価機関に 評価作業実施計画書 評価の独立性 公平性チェックリスト の作成を依頼する 認証申請書 誓約書 秘密保持契約書 2 部 ST PP 評価用提供物件一覧 提供スケジュール 法人格を証明書できる書類 製品の理解に役立つ書類 を準備する 25

26 2.IT セキュリティ評価及び認証制度の手続き 認証取得までの流れ 4 ステップ 4 認証申請書類を提出する ステップ 3 で準備した認証申請書類一式を認証機関に提出する 認証機関にて 書類の確認を行い 不備がなければ 認証機関は認証要員をアサインし 受付番号を連絡し 評価作業確認通知書を送付する 認証機関は 秘密保持契約書に押印し 一部を返送する < 注意事項 > 評価対象 (TOE) は 調達の際に一意に製品を識別できるものとします 詳細は 以下の情報を参考にしてください 秘密保持契約書の 日付 欄は 空欄のまま提出してください 申請責任者は 評価の実施に際して サイト訪問や評価証拠資料の提出 について権限のある事業責任者の方としてください 必要な評価証拠資料が提出されないと評価が完了しません 26

27 2.IT セキュリティ評価及び認証制度の手続き 認証取得までの流れ 5 ステップ 5 評価作業への対応 認証機関の担当要員より キックオフミーティングの開催について 連絡を受けた場合 出席者のアサインを行い 対応する 評価用提供物件について スケジュールに従い 遅延のないように提出する 評価作業実施計画が遅延する場合 評価機関が改版した実施計画をチェックし承認する 評価機関より所見報告書により 問題の指摘があった場合 速やかに対処する サイト訪問を行う場合は 評価機関がスムーズに評価を実施できるよう便宜を図る 認証員が同行することがある 認証機関は 評価報告書について 懸念事項がある場合 認証レビュー票を発行し 指摘を行う 申請者は 評価機関からの指示に従い評価に協力する 27

28 2.IT セキュリティ評価及び認証制度の手続き 認証取得までの流れ 6 ステップ 6 評価終了後の対応 認証機関より 評価報告書 ( 案 ) のレビュー依頼が届いたら 誤記がないことをチェックする 認証審議委員会にて承認されると 認証書 認証報告書が認証機関より発行される CCRA 相互承認の対象製品として CCRA 公式サイトの認証製品リストに掲載を希望する場合 英文認証書発行申請書 及び 英文認証報告書及び ST 掲載依頼書 を提出する 評価を受けた認証製品 バージョンのみについて 認証マークを使用し 認証製品としてマーケティング プロモーションに利用することができる 認証取得後 認証製品に変更のあった場合 保証継続の手続きを取る 28

29 2.IT セキュリティ評価及び認証制度の手続き 認証の公表 ( 客観的な保証 ) 保証範囲 責任範囲の確認 - 保証されない機能は 免責事項 として記載 想定使用環境 運用上の条件の確認 - 前提条件となる運用環境の説明 評価の実態 技術レベルの確認 - 開発現場への現地調査の有無 - 評価者が実施したテストの内容 使用上の注意点の確認 - 評価者からのコメント及び勧告 - 評価範囲を誤解しないための注意喚起 以下で認証報告書の内容について解説しています 29

30 2.IT セキュリティ評価及び認証制度の手続き 保証継続 保証継続 とは 認証製品に対する変更がなされた場合 評価されたセキュリティ要件に対する影響が小さいと判断された場合 認証機関が変更された製品に対して認証を維持する仕組み 2014 年 4 月より 保証継続の適用は 認証日より 2 年以内となりました 保証継続申請の前に 変更の 影響が小さいかどうかの判定 を事前に行う 事前レビュー を受け付けています サブセット評価が必要な場合 認証機関から連絡します 再評価は 新規案件と同様の 認証申請手続きが必要です 認証維持 小さな変更 4. 評価者がサブセット評価を実施する場合 部分的評価報告書を作成 5. 認証製品リストへ情報を追加 保証継続報告書を発行 1. 認証製品に対する変更 2. 証拠資料の更新影響分析報告書の提出 3. 変更のセキュリティへの影響? 再評価 大きな変更 6. 評価者は分析 テストを実施 その他の保証基準を適用 評価報告書を作成 7. 新たな認証書を発行 新たな認証報告書を発行 新たな認証製品 30

31 2.IT セキュリティ評価及び認証制度の手続き 認証取得者の遵守事項 認証製品に係る届出 脆弱性情報の届出 販売終了又は登録の取下げの届出 認証申請の申請担当者の変更の届出 認証製品リストの記載事項変更の届出 認証書等記載事項の変更の届出 認証取得した企業の法人名称の変更 事業譲渡又は法人の合併により認証取得企業の地位を承継した場合 30 日以内に 認証書等記載事項変更届 を必要書類と共に提出すること 認証製品の広告 宣伝等の注意事項 調達者に対して 認証取得していない製品 を 認証取得製品 と誤解を与えないようにすること (A 社の例 ) 製品 全体で認証を取得したものに対して オプションキット が認証を取得したように誤解を与えないようにすること (B 社の例 ) CCRA 認証マークの色 ( 背景色 ) を変更して使用しないこと (C 社の例 ) 認証マーク等に対する注意事項 認証取得時と製造拠点が変更になった場合 認証時の状況は維持されないため 保証継続手続を行う または 認証製品の販売終了 登録の取下げ届 を提出する 31

32 評価機関承認に関する手続き 評価機関の役割 承認の条件 承認申請 評価作業の実際 32

33 2. IT セキュリティ評価及び認証制度の手続き 評価機関の役割 < 調達者の視点 > 調達者の代わりに 対象製品についての 1 セキュリティ機能の妥当性 2 セキュリティ機能の実装の正確性 3 脆弱性 の観点からテストを行い テスト結果を基に客観的に判定を下す < 開発者の視点 > 客観的な第三者のセキュリティ専門家として 対象製品についての 1 セキュリティ機能の妥当性 2 セキュリティ機能の実装の正確性 3 脆弱性 の観点からテストを行い テスト結果を基にセキュリティ要件を満たすことを保証する 対象製品に実装されるセキュリティ機能について精通している ( 暗号 プロトコル実装 ) 既知脆弱性 (CVE JVN 等 ) を基に欠陥仮定法に基づくテストを考案し 実行できる < 対象製品のセキュリティ評価の結果に責任を負う > 33

34 2. IT セキュリティ評価及び認証制度の手続き 評価機関の承認条件 以下のような要求事項をすべて満たすことが必要 1 JISEC 運営審議委員会において承認されること JISEC への新規参入の際 その妥当性が審議され 承認されること 2 認定機関 (NITE* 又は CCRA 認証国の正式な認定機関 ) による認定を受けていること JIS Q 又は ISO/IEC 17025( 試験所及び校正機関の能力に関する一般要求事項 ) に基づき認定されること * NITE: 独立行政法人製品評価技術基盤機構 3 評価機関の教育 訓練プログラムの妥当性が確認されていること 最新のセキュリティ技術に関する教育訓練が定期的に実施されていること 4 資格を付与された評価者が 1 名以上存在すること 試行評価を行い 評価者資格基準に基づく審査に合格すること 要求事項の詳細は IT セキュリティ評価機関承認等に関する要求事項 を参照 34

35 2. IT セキュリティ評価及び認証制度の手続き 評価機関承認の条件 1 2 JISEC 運営審議委員会での承認 評価機関として参入を希望される際には まず認証機関にご相談ください JISEC 運営審議委員会での承認を得るために 認証機関よりアンケートに回答をお願いします JISEC では その情報を基に JISEC 運営審議委員会を開催し 認証機関より結果をご連絡します 認定機関による認定 JISEC では NITE( 独立行政法人製品評価技術基盤機構 ) 認定センターによる ASNITE-IT 認定を取得することが原則義務付けられています NITE へ認定申請を行います NITE より認定申請の受付が完了した後に 認証機関に対して承認申請 ( 評価機関承認申請 ) を行います この際 試行評価案件の認証申請も同時に行う必要があります 申請に際して 認証機関との間で 包括的な秘密保持契約の締結を行う 35

36 2. IT セキュリティ評価及び認証制度の手続き 評価機関承認の条件 3 評価機関の教育訓練プログラム 評価案件の技術分野に関する最新のセキュリティ技術に関する教育訓練を実施 導入研修 シニア評価者向け専門研修 教材 研修の有効性評価 PP に記載の国際標準や規格に精通 暗号の規格 (ISO FIPS IEEE JIS ほか ) 通信プロトコル (ITU IETF(RFC) IEEE ほか ) 脆弱性情報に基づく脆弱性分析と侵入テスト ( ペネトレーションテスト ) のスキル CVE CWE JVN の詳細情報の入手と攻撃手順の理解 テストツールの習熟 テスト環境の構築と最新への更新 36

37 2. IT セキュリティ評価及び認証制度の手続き 評価機関承認の条件 4 評価者資格付与を受ける 評価者資格付与申請 を 評価機関承認申請 と同時に行う 試行評価を実施し 評価報告書を作成する ( 認証機関による検証を受けて完了 ) 評価能力の審査を受ける ( 同じ評価報告書で 複数の候補者が審査を受けることはできない ) インタビュー ( 最終面接 ) を受ける ( 評価者としての資質を総合的に評価する 規程に基づき評価者 としての要求事項を満たしているかをチェック ) 審査に合格すると 認証機関は 評価者資格付与書 を授与する 評価者資格付与書 の写しを NITE へ提出すると NITE による認定に関する評定委員会が開催され 認定を受ける 認定証 の写しを認証機関に提出し 評価機関承認書 が発行される 37

38 38 2. IT セキュリティ評価及び認証制度の手続き 評価機関の認定 承認の流れ 認定 承認の流れ図を右図に示す ( 出典 ) ASNITE 試験事業者 IT 認定の取得と維持のための手引き ( 第 10 版 ) (TIRP 22) (URL)

39 2. IT セキュリティ評価及び認証制度の手続き 評価作業の実際 1 評価の受託 開発者との秘密保持契約の締結 評価案件への対応可能な要員の確保 ST の事前レビューと TOE の理解 評価スケジュールの策定と評価費用の見積り 認証機関からのキックオフ会議への参加要請 評価作業の全般に係る理解と確認 懸念事項の解消 サイト訪問計画 ( 特に海外生産事業場が含まれる場合 ) 評価中の情報共有についての取り決め その他 確認事項 39

40 2. IT セキュリティ評価及び認証制度の手続き 評価作業の実際 2 評価作業の見える化 評価作業計画の詳細化 進捗状況 課題の三者共有 課題の早期発見 対処に実績を上げている ST 評価 PP 適合評価では PP に基づく内容であることが求められる TOE 評価 PP cpp 及びサポート文書等に基づき CEM に記載の項目を詳細にテストし 評価報告書 (ETR) を作成する 米国 PP に適合する場合 ETR の他に 保証アクティビティ報告書 エントロピーヘルステスト報告書等が PP に基づき求められる 40

41 2. IT セキュリティ評価及び認証制度の手続き 評価作業の実際 3 TOE 評価 ( つづき ) 所見報告書 (OR) により 懸念事項を通知する 懸念事項への適切な対処を確認をし ETR を作成する 認証機関より 認証レビュー票 ( 質問 コメント 指摘 ) が発行された場合 回答予定日 ( 概ね 2 週間 ) を連絡し 対応する 回答が遅延する場合も 回答予定日を速やかに連絡する 評価作業実施計画書の提出予定日より 2 週間以上の遅延が見込まれる場合 評価作業実施計画書を改版し 開発者了解のもと認証機関に再提出する 評価者独立テスト 脆弱性分析 ( 侵入テスト ) について 考案したテスト計画書を実施前に認証機関に提出し テスト内容の妥当性及び十分性について確認を受ける 41

42 2. IT セキュリティ評価及び認証制度の手続き 評価作業の実際 4 TOE 評価 ( つづき ) サイト訪問実施計画書を認証機関に提出し 計画内容の十分性 適切性について確認を受ける 海外のサイトへ認証機関が同行する場合は 1 か月前までに確認を終えること ISMS でのサイト訪問と同様の審査が行われる PP cpp やサポート文書に記載のテストは すべて実施すること 評価者の勝手な解釈は許されない TOE は 製品 ( または同等品 ) でなければならない 製品としての出荷が許可されたものと同じであることの根拠が必要である 評価は ISO/IEC 17025(JIS Q 17025) に基づくマネジメントシステムに基づいて実施される 42

43 2. IT セキュリティ評価及び認証制度の手続き 評価作業の実際 5 TOE 評価 ( つづき ) すべての評価報告書 (ETR) の検証が終了すると 認証機関より評価終了の連絡が届くので ETR( 正式版 ) 及び電子データ (CD) を認証機関へ提出すること 認証機関より 認証報告書のレビュー依頼が来たら 速やかに内容を確認し 誤記等があれば 指摘を行う 43

44 2. IT セキュリティ評価及び認証制度の手続き 評価の独立性 公平性の確保 評価の独立性 JISEC では 評価機関並びに評価者に対して 評価の独立性と公平性 の確保を求めている 評価機関の評価チームのメンバー 並びに評価機関の責任者に対して ST や TOE 評価証拠資料の作成を禁止している 評価の独立性 公平性チェックリスト ( 評価機関 ) ( 評価者 ) に事実を記載し 認証申請者へ提出する 評価メンバーを追加する場合も 上記チェックリストを作成し 提出する ST の作成や TOE 証拠資料の作成についてコンサルティングを行ったものは 当該案件の評価に携われない コンサルティングを行った組織の長は 評価メンバーの組織の長であってはならない 44

45 3. 本制度の活用のための Tips 評価機関の選び方 各評価機関を実際に見てみる 各評価機関の技術責任者 シニア評価者と面談する 評価契約に サービスレベル 条項があるか 本来 脆弱性テストは 評価機関のテスト環境に対象製品を設置してテストを実施するものであり テスト環境やツール 模擬テスト等のデモを見てみるとよい 対象製品についての評価実績について確認したり 過去の評価における脆弱性分析で発見した具体的な事例 暗号や通信プロトコルの評価ツールなどについて面談で確認するとよい 評価の品質が原因で脆弱性の見逃しがあり 市場で問題が発生した場合への対処について あらかじめ合意しておくとよい 4 コンサルティングサービスに過度な期待を抱かない コンサルタントの誤った理解によっては 逆に評価に時間がかかることがある あくまでも 製品のセキュリティ仕様については 開発者の理解と責任が求められる 5 開発者目線で 評価の品質を分析して 有効性を評価する 定期的な見直し 適正な競争により 評価品質の維持 向上が期待される 45

46 3. 本制度の活用のための Tips CC 関連講座のご案内 IPA において定期的に開催する講座 IT セキュリティ製品の評価認証制度に関する説明会 ( 本講座 ) 内容 : CC 及び日本における運用制度に関する紹介対象 : CC に関する知識を有していない方 ST 作成に関する説明会 (7 月 1 日終了 ) 内容 : ST の概要 目的 サンプルをベースにした解説対象 : CC に関する基本的な知識を有した方 ( 本講座の受講者等 ) 証拠資料作成講座 (7 月 8 日終了 ) 内容 : 開発証拠資料作成のポイント 評価のポイントに関する解説対象 : CC に関する基本的な知識を有した方 ( 上記講座の受講者等 ) 詳しくは JISEC ホームページへ 46

47 3. 本制度の活用のための Tips JISEC に関する情報の入手先 (1) <JISEC 関連情報 > JISEC 及び CC について 消費者 調達者のみなさま 認証製品リスト 申請者のみなさま 認証申請 評価機関承認申請 規程集 / 様式集 評価機関リスト ハードウェア評価 認証 ST 確認制度 その他 JISEC ポータルサイト 47

48 3. 本制度の活用のための Tips JISEC に関する情報の入手先 (2) 関連するリンク先 JISEC Web サイト CC/CEM( 規格 ) CCRA 公式サイト JISEC 認証製品リスト JISEC 評価中リスト 申請手続 ( 認証申請 ) 申請手続 ( 評価機関 ) JISEC 規程集 海外のプロテクションプロファイルの翻訳 政府機関統一基準 セキュリティ要件リスト

49 認証製品の数々 ファイアウォール 侵入検知 / 防止システム (IDS/IPS) アプリケーションサーバ 生体認証 IC カード関連 アクセス制御 デジタル複合機 ネットワーク OS 認証製品数は約 2,540 件 (2014 年 6 月現在 ) 世界の様々な分野で活躍しています HSM ( 暗号鍵管理 ) データ保護 ( ソフトウェア ) ERP サーバ OS データベース テレフォニーシステム 49

50 CCRA に関する情報の入手先 CCRA ポータルサイト < 主な情報 > CCRA 新アレンジメント案 移行計画 CC の規格 関連文書の提供 cpp 開発状況とテクニカルコミュニティ 相互承認の対象の認証製品リスト プロテクションプロファイル ICCC 開催情報へのリンク 50

51 ご清聴ありがとうございました 51