目次 1. IT セキュリティ評価及び認証制度の概要制度の目的国際標準に基づくセキュリティ要件調達での活用セキュリティ要件の例 ITセキュリティ評価の共通基準( 国際標準 ) CC 評価の概要国際的な承認アレンジメント(CCRA) 2. 認証申請者に係る手続き認証取得までの流れ保証継

IT セキュリティ評価及び認証制度の概要平成 26 年 7 月 28 日独立行政法人情報処理推進機構技術本部セキュリティセンター

目次 1. IT セキュリティ評価及び認証制度の概要制度の目的国際標準に基づくセキュリティ要件調達での活用セキュリティ要件の例 ITセキュリティ評価の共通基準( 国際標準 ) CC 評価の概要国際的な承認アレンジメント(CCRA) 2. 認証申請者に係る手続き認証取得までの流れ保証継続認証取得者の遵守事項 3. 評価機関承認に関する手続き評価機関の役割評価機関の承認条件認定承認の流れ評価作業の実際独立性公平性の確保 2

1. IT セキュリティ評価及び認証制度の概要制度の目的 (1) 出典 :( 経済産業省のウェブページより ) http://www.meti.go.jp/policy/netsecurity/cc.html 3

1. IT セキュリティ評価及び認証制度の概要制度の目的 (2) < 制度の目的 > 市販のIT 製品を政府機関で安全に活用すること政府機関統一基準 5.2.1 情報システムの企画要件定義遵守事項 (2) 情報システムのセキュリティ要件の策定 (c) 情報システムセキュリティ責任者は機器等を調達する場合には IT 製品の調達におけるセキュリティ要件リストを参照し利用環境における脅威を分析した上で当該機器等に存在する情報セキュリティ上の脅威に対抗するためのセキュリティ要件を策定すること IT 製品の調達におけるセキュリティ要件リストセキュリティ要件セキュリティ方針脅威 ( 攻撃者 ) セキュリティ対策方針評価基準 IT 製品評価方法 IT 製品は評価基準評価方法に基づきセキュリティ要件を満たしていることを評価される保護資産 ( 重要データプログラム設定情報 ) 4

1. IT セキュリティ評価及び認証制度の概要制度の目的 (3) IT 製品の調達におけるセキュリティ要件リスト < 対象製品分野 >6 分野 1 デジタル複合機 (MFP) 2 ファイアウォール 3 不正侵入検知 / 防止システム (IDS/IPS) 4OS( サーバ OS に限る ) 5 データベース管理システム (DBMS) 6 スマートカード (IC カード ) < 対象候補 >1 分野 7USB メモリ < 要件リストの活用 > 各分野における脅威に対抗するセキュリティ要件の実装及び要件が正確に実装されていることを検査することが求められている同時に各分野におけるセキュリティ要件を満たすためそれぞれに対応するプロテクションプロファイル (PP) がどの脅威に対抗しているかを記載しているこれらの PP 適合評価に合格した認証製品は自動的にこれらのセキュリティ要件を満たすものとなるまた認証取得見込 ( 評価中 ) の製品については調達側の判断で調達時の要件として認めることも可能である http://www.meti.go.jp/press/2014/05/20140519003/20140519003.pdf 5

1. IT セキュリティ評価及び認証制度の概要 IT セキュリティに関する国際標準 < 制度の目的 > 市販のIT 製品を政府機関で安全に活用すること情報セキュリティ管理 ISO 27001 セキュリティ要件 :PP 製品セキュリティ評価 ISO15408 リスク分析管理策の適用有効性評価 PDCAによる管理調達仕様セキュリティ仕様開発 ( 設計製造 ) テスト設置運用廃棄ライフサイクル支援第三者による評価 ST 評価 ( 基本仕様設計書 ) 評価機能テスト侵入テストガイダンス評価 ( 構成管理配付手続 ) 評価 ISO/IEC 27001 ISO/IEC 15408(CC)/18045(CEM) 6

1. IT セキュリティ評価及び認証制度の概要国際標準に基づくセキュリティ要件 1 プロテクションプロファイルとは IT 製品の使用事例を明確にし使用に際して考慮すべきセキュリティ上の保護資産に対する脅威対抗するためのセキュリティ対策方針前提条件組織のセキュリティ方針等により十分対策が取れることを記述し IT 製品が実装するべきセキュリティ機能要件評価機関が実施するべきセキュリティ保証要件について ISO/IEC 15408(CC) に基づいて記述した適合すべき最低限のセキュリティ要件である 7

1. IT セキュリティ評価及び認証制度の概要国際標準に基づくセキュリティ要件 2 1 セキュリティ機能の適切性が評価されていること 2 セキュリティ機能の正確性が評価されていること 3 評価のための基準が統一公表されていること 4 専門知識を持つ第三者 ( 利用者調達者の代わり ) が実際の開発資料等を用いて評価すること 5 評価結果に対して客観的な保証が得られること国際標準 ISO/IEC 15408(CC) に基づくセキュリティ要件プロテクションプロファイル (PP) 8

1. IT セキュリティ評価及び認証制度の概要政府調達での活用対象製品分野デジタル複合機 (MFP) IEEE Std. 2600.1 TM -2009 PP_HCD_BR_V1.0 国際標準に基づくセキュリティ要件 USG Approved Protection Profile PP_HCD_EAL2_V1.0 ファイアウォール USG Protection Profile PP_TFFW_BR_V1.1 USG Approved Protection Profile PP_ND_TFFW_EP_V1.0 不正侵入検知 / 防止システム (IDS/IPS) OS( サーバ OS に限る ) USG Protection Profile PP_IDS_SYS_BR_V1.7 Operating System Protection Profile BSI-CC-PP-0067 Version 2.0 USG Protection Profile for General- Purpose Operating Systems in a Network Environment Ver.1.0 Genral Purpose Operating System Protection Profile Version3.9 PP_GPOS_V3.9 データベース管理システム (DBMS) USG PP for Database Management Systems Ver.1.3 PP_DBMS_V1.3 スマートカード (IC カード ) 旅券冊子 IC のためのプロテクションプロファイル - 能動認証対応第 1.00 版住民基本台帳カード Version2 組込みソフトウェアプロテクションプロファイル 1.00 組込み危機向けセキュア IC チッププロテクションプロファイル第 1.0 版個人番号カードプロテクションプロファイル第 1.00 版 9

1. IT セキュリティ評価及び認証制度の概要セキュリティ要件の例分野 PP 名称発行日ネットワーク基盤 PP_ND_V1.1 2012/6/8 ファイアウォール PP_ND_TFFW_EP_V1.0 2011/12/19 VPN ゲートウェイ PP_ND_VPN_GW_EP_V1.1 2013/4/15 IPsec VPN クライアント PP_VPN_IPSEC_CLIENT_V1.4 2013/10/23 SIP サーバー PP_ND_SIP_EP_V1.0 2013/2/6 無線 LAN アクセスポイント無線 LAN クライアント PP_WLAN_AS_V1.0 2011/12/1 PP_WLAN_CLI_V1.0 2011/12/19 汎用 OS PP_GPOS_V3.9 2013/1/15 モバイルデバイス基盤モバイルデバイス管理 USB フラッシュドライブソフトウェアフルディスク暗号化 PP_MD_V1.1 2014/2/18 PP_MDM_V1.1 2014/3/7 PP_USB_FD_V1.0 2011/12/1 PP_SWFDE_V1.1 2014/3/31 分野 PP 名称発行日 VOIP アプリ PP_VOIP_V1.2 2013/10/23 Email クライアント PP_EMAILCLIENT_V1.0 2014/4/1 Web ブラウザ PP_WEBBROWSER_V1.0 2014/3/31 BIOS アップデート PP_BIOS_V1.0 2013/2/13 企業セキュリティ管理ポリシー管理企業セキュリティ管理アクセス制御企業セキュリティ管理 ID クレデンシャル管理データベース管理システム PP_ESM_PM_V2.1 2013/11/21 PP_ESM_AC_V2.1 2013/11/12 PP_ESM_ICM_V2.1 2013/11/21 PP_DBMS_V1.3 2010/12/24 デジタル複合機 PP_HCD_EAL2_V1.0 2010/2/26 デジタル複合機 PP_HCD_BR_V1.0 2009/6/12 IDS( 侵入検知システム ) pp_ids_sys_br_v1.7 2007/7/25 認証局 PP_CA_V1.0 2014/5/16 10

国際標準 ISO/IEC 15408(CC) コモンクライテリア 11

1. IT セキュリティ評価及び認証制度の概要 IT セキュリティ評価の共通基準 ( 国際標準 )1 ISO/IEC 15408(CC) ISO/IEC 18045 (CEM) CC Part1 CC Part2 CC Part3 CEM 用語定義概要の解説機能要件集保証要件集評価方法パスワードが [ 定義された品質尺度 ] に合致することを検証するメカニズムを提供しなければならない監査対象事象の監査記録を生成できなければならないセキュリティ機能の正常動作を実証するために [ 初期立ち上げ中に ] 自己テストを実行しなければならない開発者は機能仕様を提供しなければならない機能仕様は完全に評価対象のセキュリティ機能を表現しなければならない評価者は機能仕様がセキュリティ機能要件の正確かつ完全な具体化であることを決定しなければならない保証要件の評価のための方法を詳細化設計書ソースコードマニュアルテスト脆弱性開発環境などに関する要求事項 CC : Common Criteria CEM : Common Evaluation Methodology * 説明会用の資料として CC の記載内容から表現を尐し変更しています 12

1. IT セキュリティ評価及び認証制度の概要 IT セキュリティ評価の共通基準 ( 国際標準 )2 2014 年 6 月現在 CC (Common Criteria) CC V3.1 Release 1 (Part 1,2,3 から成る以下同じ ) 2006-09 発行 CC V3.1 Release 2(Part2, 3 のみ ) 2007-09 発行 CC V3.1 Release 3 2009-07 発行 CC V3.1 Release 4 2012-09 発行 ( 注 2) ISO/IEC 15408( 注 1) - ISO/IEC 15408-2:2008, ISO/IEC 15408-3:2008 2008-08-15 発行 (Part2,3のみ) ISO/IEC 15408-1:2009 2009-12-15 発行 (Part1のみ) IT セキュリティ評価及び認証制度 (JISEC) 2006-10 CC V3.1 Release1 英語版規格化 2007-04 CC V3.1 改訂第 1 版翻訳第 1.2 版規格化 2008-03 CC V3.1 Release2 英語版及び CC V3.1 改訂第 2 版翻訳第 2.0 版規格化 2009-12 CC V3.1 Release3 英語版及び CC V3.1 改訂第 3 版翻訳第 1.0 版規格化 2012-11 CC V3.1 Release4 英語版及び CC V3.1 改訂第 4 版翻訳第 1.0 版規格化 CEM (Common Evaluation Methodology) CEM V3.1 Release 1 2006-09 発行 CEM V3.1 Release 2 2007-09 発行 CEM V3.1 Release 3 2009-07 発行 CEM V3.1 Release 4 2012-09 発行 ( 注 2) ISO/IEC 18045:2008 2008-08-15 発行 ISO/IEC 18045 ( 注 1) - - - IT セキュリティ評価及び認証制度 (JISEC) 2006-10 CEM V3.1 Release1 英語版規格化 2007-04 CEM V3.1 改訂第 1 版翻訳第 1.2 版規格化 2008-03 CEM V3.1 Release2 英語版及び CEM V3.1 改訂第 2 版翻訳第 2.0 版規格化 2009-12 CEM V3.1 Release3 英語版及び CEM V3.1 改訂第 3 版翻訳第 1.0 版規格化 2012-11 CEM V3.1 Release3 英語版及び CEM V3.1 改訂第 4 版翻訳第 1.0 版規格化注 1:CC V3.1 相当の ISO/IEC 15408 及び 18045 は Revision レベルの整合がないため JISEC 規格として採用はできない状況である注 2: JISEC では最新の CC V3.1Release4 CEM V3.1Release4 並びにそれらの日本語への翻訳版を規格化している 13

1. IT セキュリティ評価及び認証制度の概要 IT セキュリティ評価の共通基準 ( 国際標準 )3 セキュリティ機能に求められること適切性情報資産を守るために必要十分な機能を持っているのか正確性機能は正しく実装され確実に動作するのか本当に安全であるかどうか確信できないどれだけの脅威に対抗できるのかわからない ( 開発者の主張を受け入れるしかない ) 脅威に対抗するために必要十分な機能が実装されていること実装に不備がないこと ( 脆弱性がないこと ) を客観的に主張できない利用者調達者開発者専門知識を持つ第三者による客観的なセキュリティ評価の必要性 14

1. IT セキュリティ評価及び認証制度の概要 IT セキュリティ評価の共通基準 ( 国際標準 )4 保護資産と脅威等 ( セキュリティ課題 ) の洗い出し脅威保護資産 ST: セキュリティターゲット ( セキュリティ設計仕様書 ) セキュリティ課題への対策方針の決定対策方針 1 対策方針 2 対策方針 3 ST で論理展開しセキュリティ機能の必要十分性を評価適切性の保証セキュリティ機能 1 セキュリティ機能 2 セキュリティ機能 3 セキュリティ機能 4 対策方針を満たすセキュリティ機能要件の決定 15

1. IT セキュリティ評価及び認証制度の概要 IT セキュリティ評価の共通基準 ( 国際標準 )5 要件分析 / 定義基本設計詳細設計プログラム設計プログラム実装各種テスト設置運用セキュリティターゲット機能仕様内部設計詳細設計ソースコード開発環境テスト仕様テスト結果設置マニュアル運用マニュアル構成管理配付手続きセキュリティ機能の正確性をライフサイクル全体として保証脆弱性を生み出さない仕組み作り定義された機能要件の正確性をどの範囲まで評価して保証するのかどこまで詳細に調査するのか正確性の保証における厳密さを規定するための指標 EAL: 保証レベル (Evaluation Assurance Level) 16

1. IT セキュリティ評価及び認証制度の概要 IT セキュリティ評価の共通基準 ( 国際標準 )6 保証範囲 EAL1 EAL2 EAL3 EAL4 EAL5 機能仕様 ( 外部 I/F) 利用者ガイダンス等内部設計配付手続き開発者テスト開発資料からの脆弱性分析等開発現場のセキュリティ開発者テストの深さ ( 詳細度 ) 分析等ソースコード開発環境 ( ツール ) 等準形式的 ( フローチャート等の図式を用いた曖昧ではない ) 設計資料等 CCRA における相互承認の対象評価方法の規定 (CEM) EAL6,7 各国の制度による ( 軍需品など特別な用途のため ) 保証レベルはセキュリティ機能の確かさ ( 保証の度合い ) を示す保証レベルが高くなるほど確認される範囲 ( 証拠資料 ) が広くなり確認される詳細度が深くなる 17

1. IT セキュリティ評価及び認証制度の概要 IT セキュリティ評価の共通基準 ( 国際標準 )7 資質を持った評価者認証者が専門知識を適用評価者セキュリティのプロによる評価規格の理解製品仕様の十分な理解 IT に関する見識客観的な立場セキュリティに関する見識各種資料の検査各種設計書脆弱性分析ソースコードテスト仕様マニュアル : 現地調査テストの実施開発環境評価者独立テスト : 侵入テスト認証者規格 (CC) のプロによる確認評価報告書の検証認証書規格への準拠評価の妥当性再現性最終利用者に対する説明責任現地調査テストへの立会い認証書の発行 18

1. IT セキュリティ評価及び認証制度の概要日本の評価認証スキーム (JISEC) 申請者 ( 開発者等 ) 主な役割開発時の設計文書の開示開発記録等の情報提供 1 調達要件を提示 9 認証製品を提供調達者 ( 政府機関民間企業等 ) 主な役割調達要件の提示調達要件を満たす製品の選定調達 2 評価依頼 4 評価結果 ( 問題指摘 ) 評価機関 ( 民間企業等 1) 主な役割第三者的立場での評価評価結果の報告 3 認証申請 4 評価結果 ( 問題指摘 ) 5 技術指導監督 6 評価報告 ( 最終 ) 認証書 7 個別製品毎に認証 8 認証製品リスト Web 公開認証機関 (IPA) 主な役割評価結果の認証評価機関の承認及び監督制度の維持運営 CCRA への対応 1: 評価機関 (2014 年 5 月現在以下の 5 社 ) 一般社団法人 IT セキュリティセンター評価部 [ 製品分野 :SW] 株式会社 ECSEC Laboratory 評価センター [ 製品分野 :SW HW( スマートカード等 )] みずほ情報総研株式会社情報セキュリティ評価室 [ 製品分野 :SW] TÜV Informationstechnik GmbH Evaluation Body for IT-Security [ 製品分野 :SW] Brightsight bv [ 製品分野 :HW( スマートカード等 )] IT セキュリティ評価及び認証制度の運営を監督経済産業省 19

1.IT セキュリティ評価及び認証制度の概要国際的な承認アレンジメント (CCRA) 1 IT セキュリティ評価認証制度を運用し試行認証審査に合格した国 ( 認証書生成国 ) が発行する認証書を相互に承認する枠組みとして CCRA が創設された日本イギリスオランダカナダアメリカノルウェーフランスオーストラリア韓国ドイツニュージーランドスペイン日本で認証された製品は他の加盟国でも同等に扱う海外の認証書生成国で認証された製品は日本でも同等に扱うスウェーデンインドフィンランドハンガリーイタリアトルコマレーシア認証書生成国 :17 か国ギリシャイスラエルオーストリアチェコシンガポールデンマーク CCRA 公式サイト http://www.commoncriteriaportal.org/ パキスタン 2014 年 6 月現在 20

1.IT セキュリティ評価及び認証制度の概要国際的な承認アレンジメント (CCRA) 2 CCRA の改革が進行中セキュリティ評価結果の再現性透明性費用対効果の高い達成可能なセキュリティ要件 (cpp) を開発する原則 cpp 適合評価について相互承認を行う cpp ごとにサポート文書 ( 具体的評価手法を記述 ) を作成 cpp 適合評価でない場合相互承認は EAL2 まで ( これまでは EAL4 まで ) 新アレンジメントの署名後猶予期間として 36 ヶ月は EAL4 まで相互承認 CCRA 公式サイト http://www.commoncriteriaportal.org/ 21

認証申請者に係る手続き認証申請保証継続申請認証取得者の義務 22

2.IT セキュリティ評価及び認証制度の手続き認証取得までの流れ 1 事例政府調達のために〇〇製品の評価認証を受けたいステップ 1 IT 製品の調達のためのセキュリティ要件リストを参照し対象分野かどうかをチェックする対象分野 ( 又は対象候補 ) である場合 : 国際標準に基づくセキュリティ要件 (PP) に適合する製品としてセキュリティ評価する必要があります PP に記載されているセキュリティ機能要件に対応したセキュリティ仕様書 ( セキュリティターゲット :ST) を作成する対象分野でない場合 : 類似の製品のセキュリティ要件を参考にするか調達者にセキュリティ要件について確認を行い脅威に対抗するセキュリティ手段を明確にする 23

2.IT セキュリティ評価及び認証制度の手続き認証取得までの流れ 2 ステップ 2 ST に基づく製品の開発 ST の TOE 概要セキュリティ課題定義セキュリティ対策方針については開発者自身が作成し理解しておく基本設計において ST に記載したセキュリティ機能要件を実行するためのインタフェースを識別する詳細設計プログラム設計実装において基本設計と矛盾なく正確に実装まで落とし込む製造検査において ST に記載した通り動作することをテストにより確認する出荷設置運用において評価された製品が正しく利用者に届く品質システムに従い上記の開発を行い各種記録を維持する 24

2.IT セキュリティ評価及び認証制度の手続き認証取得までの流れ 3 ステップ 3 評価の依頼評価機関を選定し評価作業の依頼を行う評価機関の示すスケジュール評価契約の内容を確認し秘密保持契約についても同時に締結する ( 評価機関の責任に帰す評価作業上の瑕疵により再評価が発生した場合の費用について事前に合意しておくとよい ) 認証申請評価機関に評価作業実施計画書評価の独立性公平性チェックリストの作成を依頼する認証申請書誓約書秘密保持契約書 2 部 ST PP 評価用提供物件一覧提供スケジュール法人格を証明書できる書類製品の理解に役立つ書類を準備する 25

2.IT セキュリティ評価及び認証制度の手続き認証取得までの流れ 4 ステップ 4 認証申請書類を提出するステップ 3 で準備した認証申請書類一式を認証機関に提出する認証機関にて書類の確認を行い不備がなければ認証機関は認証要員をアサインし受付番号を連絡し評価作業確認通知書を送付する認証機関は秘密保持契約書に押印し一部を返送する < 注意事項 > 評価対象 (TOE) は調達の際に一意に製品を識別できるものとします詳細は以下の情報を参考にしてください秘密保持契約書の日付欄は空欄のまま提出してください申請責任者は評価の実施に際してサイト訪問や評価証拠資料の提出について権限のある事業責任者の方としてください必要な評価証拠資料が提出されないと評価が完了しません 26

2.IT セキュリティ評価及び認証制度の手続き認証取得までの流れ 5 ステップ 5 評価作業への対応認証機関の担当要員よりキックオフミーティングの開催について連絡を受けた場合出席者のアサインを行い対応する評価用提供物件についてスケジュールに従い遅延のないように提出する評価作業実施計画が遅延する場合評価機関が改版した実施計画をチェックし承認する評価機関より所見報告書により問題の指摘があった場合速やかに対処するサイト訪問を行う場合は評価機関がスムーズに評価を実施できるよう便宜を図る認証員が同行することがある認証機関は評価報告書について懸念事項がある場合認証レビュー票を発行し指摘を行う申請者は評価機関からの指示に従い評価に協力する 27

2.IT セキュリティ評価及び認証制度の手続き認証取得までの流れ 6 ステップ 6 評価終了後の対応認証機関より評価報告書 ( 案 ) のレビュー依頼が届いたら誤記がないことをチェックする認証審議委員会にて承認されると認証書認証報告書が認証機関より発行される CCRA 相互承認の対象製品として CCRA 公式サイトの認証製品リストに掲載を希望する場合英文認証書発行申請書及び英文認証報告書及び ST 掲載依頼書を提出する評価を受けた認証製品バージョンのみについて認証マークを使用し認証製品としてマーケティングプロモーションに利用することができる認証取得後認証製品に変更のあった場合保証継続の手続きを取る 28

2.IT セキュリティ評価及び認証制度の手続き認証の公表 ( 客観的な保証 ) 保証範囲責任範囲の確認 - 保証されない機能は免責事項として記載想定使用環境運用上の条件の確認 - 前提条件となる運用環境の説明評価の実態技術レベルの確認 - 開発現場への現地調査の有無 - 評価者が実施したテストの内容使用上の注意点の確認 - 評価者からのコメント及び勧告 - 評価範囲を誤解しないための注意喚起以下で認証報告書の内容について解説しています http://www.ipa.go.jp/security/jisec/forusers/guidetocr.html 29

2.IT セキュリティ評価及び認証制度の手続き保証継続保証継続とは認証製品に対する変更がなされた場合評価されたセキュリティ要件に対する影響が小さいと判断された場合認証機関が変更された製品に対して認証を維持する仕組み 2014 年 4 月より保証継続の適用は認証日より 2 年以内となりました保証継続申請の前に変更の影響が小さいかどうかの判定を事前に行う事前レビューを受け付けていますサブセット評価が必要な場合認証機関から連絡します再評価は新規案件と同様の認証申請手続きが必要です認証維持小さな変更 4. 評価者がサブセット評価を実施する場合部分的評価報告書を作成 5. 認証製品リストへ情報を追加保証継続報告書を発行 1. 認証製品に対する変更 2. 証拠資料の更新影響分析報告書の提出 3. 変更のセキュリティへの影響? 再評価大きな変更 6. 評価者は分析テストを実施その他の保証基準を適用評価報告書を作成 7. 新たな認証書を発行新たな認証報告書を発行新たな認証製品 30

2.IT セキュリティ評価及び認証制度の手続き認証取得者の遵守事項認証製品に係る届出脆弱性情報の届出販売終了又は登録の取下げの届出認証申請の申請担当者の変更の届出認証製品リストの記載事項変更の届出認証書等記載事項の変更の届出認証取得した企業の法人名称の変更事業譲渡又は法人の合併により認証取得企業の地位を承継した場合 30 日以内に認証書等記載事項変更届を必要書類と共に提出すること認証製品の広告宣伝等の注意事項調達者に対して認証取得していない製品を認証取得製品と誤解を与えないようにすること (A 社の例 ) 製品全体で認証を取得したものに対してオプションキットが認証を取得したように誤解を与えないようにすること (B 社の例 ) CCRA 認証マークの色 ( 背景色 ) を変更して使用しないこと (C 社の例 ) 認証マーク等に対する注意事項認証取得時と製造拠点が変更になった場合認証時の状況は維持されないため保証継続手続を行うまたは認証製品の販売終了登録の取下げ届を提出する 31

評価機関承認に関する手続き評価機関の役割承認の条件承認申請評価作業の実際 32

2. IT セキュリティ評価及び認証制度の手続き評価機関の役割 < 調達者の視点 > 調達者の代わりに対象製品についての 1 セキュリティ機能の妥当性 2 セキュリティ機能の実装の正確性 3 脆弱性の観点からテストを行いテスト結果を基に客観的に判定を下す < 開発者の視点 > 客観的な第三者のセキュリティ専門家として対象製品についての 1 セキュリティ機能の妥当性 2 セキュリティ機能の実装の正確性 3 脆弱性の観点からテストを行いテスト結果を基にセキュリティ要件を満たすことを保証する対象製品に実装されるセキュリティ機能について精通している ( 暗号プロトコル実装 ) 既知脆弱性 (CVE JVN 等 ) を基に欠陥仮定法に基づくテストを考案し実行できる < 対象製品のセキュリティ評価の結果に責任を負う > 33

2. IT セキュリティ評価及び認証制度の手続き評価機関の承認条件以下のような要求事項をすべて満たすことが必要 1 JISEC 運営審議委員会において承認されること JISEC への新規参入の際その妥当性が審議され承認されること 2 認定機関 (NITE* 又は CCRA 認証国の正式な認定機関 ) による認定を受けていること JIS Q 17025 又は ISO/IEC 17025( 試験所及び校正機関の能力に関する一般要求事項 ) に基づき認定されること * NITE: 独立行政法人製品評価技術基盤機構 3 評価機関の教育訓練プログラムの妥当性が確認されていること最新のセキュリティ技術に関する教育訓練が定期的に実施されていること 4 資格を付与された評価者が 1 名以上存在すること試行評価を行い評価者資格基準に基づく審査に合格すること要求事項の詳細は IT セキュリティ評価機関承認等に関する要求事項を参照 http://www.ipa.go.jp/security/jisec/prcdr/documents/ccm-03.pdf 34

2. IT セキュリティ評価及び認証制度の手続き評価機関承認の条件 1 2 JISEC 運営審議委員会での承認評価機関として参入を希望される際にはまず認証機関にご相談ください JISEC 運営審議委員会での承認を得るために認証機関よりアンケートに回答をお願いします JISEC ではその情報を基に JISEC 運営審議委員会を開催し認証機関より結果をご連絡します認定機関による認定 JISEC では NITE( 独立行政法人製品評価技術基盤機構 ) 認定センターによる ASNITE-IT 認定を取得することが原則義務付けられています NITE へ認定申請を行います NITE より認定申請の受付が完了した後に認証機関に対して承認申請 ( 評価機関承認申請 ) を行いますこの際試行評価案件の認証申請も同時に行う必要があります申請に際して認証機関との間で包括的な秘密保持契約の締結を行う 35

2. IT セキュリティ評価及び認証制度の手続き評価機関承認の条件 3 評価機関の教育訓練プログラム評価案件の技術分野に関する最新のセキュリティ技術に関する教育訓練を実施導入研修シニア評価者向け専門研修教材研修の有効性評価 PP に記載の国際標準や規格に精通暗号の規格 (ISO FIPS IEEE JIS ほか ) 通信プロトコル (ITU IETF(RFC) IEEE ほか ) 脆弱性情報に基づく脆弱性分析と侵入テスト ( ペネトレーションテスト ) のスキル CVE CWE JVN の詳細情報の入手と攻撃手順の理解テストツールの習熟テスト環境の構築と最新への更新 36

2. IT セキュリティ評価及び認証制度の手続き評価機関承認の条件 4 評価者資格付与を受ける評価者資格付与申請を評価機関承認申請と同時に行う試行評価を実施し評価報告書を作成する ( 認証機関による検証を受けて完了 ) 評価能力の審査を受ける ( 同じ評価報告書で複数の候補者が審査を受けることはできない ) インタビュー ( 最終面接 ) を受ける ( 評価者としての資質を総合的に評価する規程に基づき評価者としての要求事項を満たしているかをチェック ) 審査に合格すると認証機関は評価者資格付与書を授与する評価者資格付与書の写しを NITE へ提出すると NITE による認定に関する評定委員会が開催され認定を受ける認定証の写しを認証機関に提出し評価機関承認書が発行される 37

38 2. IT セキュリティ評価及び認証制度の手続き評価機関の認定承認の流れ認定承認の流れ図を右図に示す ( 出典 ) ASNITE 試験事業者 IT 認定の取得と維持のための手引き ( 第 10 版 ) (TIRP 22) (URL) http://www.iajapan.nite.go.jp/asnite/pdf/tirp22-10.pdf

2. IT セキュリティ評価及び認証制度の手続き評価作業の実際 1 評価の受託開発者との秘密保持契約の締結評価案件への対応可能な要員の確保 ST の事前レビューと TOE の理解評価スケジュールの策定と評価費用の見積り認証機関からのキックオフ会議への参加要請評価作業の全般に係る理解と確認懸念事項の解消サイト訪問計画 ( 特に海外生産事業場が含まれる場合 ) 評価中の情報共有についての取り決めその他確認事項 39

2. IT セキュリティ評価及び認証制度の手続き評価作業の実際 2 評価作業の見える化評価作業計画の詳細化進捗状況課題の三者共有課題の早期発見対処に実績を上げている ST 評価 PP 適合評価では PP に基づく内容であることが求められる TOE 評価 PP cpp 及びサポート文書等に基づき CEM に記載の項目を詳細にテストし評価報告書 (ETR) を作成する米国 PP に適合する場合 ETR の他に保証アクティビティ報告書エントロピーヘルステスト報告書等が PP に基づき求められる 40

2. IT セキュリティ評価及び認証制度の手続き評価作業の実際 3 TOE 評価 ( つづき ) 所見報告書 (OR) により懸念事項を通知する懸念事項への適切な対処を確認をし ETR を作成する認証機関より認証レビュー票 ( 質問コメント指摘 ) が発行された場合回答予定日 ( 概ね 2 週間 ) を連絡し対応する回答が遅延する場合も回答予定日を速やかに連絡する評価作業実施計画書の提出予定日より 2 週間以上の遅延が見込まれる場合評価作業実施計画書を改版し開発者了解のもと認証機関に再提出する評価者独立テスト脆弱性分析 ( 侵入テスト ) について考案したテスト計画書を実施前に認証機関に提出しテスト内容の妥当性及び十分性について確認を受ける 41

2. IT セキュリティ評価及び認証制度の手続き評価作業の実際 4 TOE 評価 ( つづき ) サイト訪問実施計画書を認証機関に提出し計画内容の十分性適切性について確認を受ける海外のサイトへ認証機関が同行する場合は 1 か月前までに確認を終えること ISMS でのサイト訪問と同様の審査が行われる PP cpp やサポート文書に記載のテストはすべて実施すること評価者の勝手な解釈は許されない TOE は製品 ( または同等品 ) でなければならない製品としての出荷が許可されたものと同じであることの根拠が必要である評価は ISO/IEC 17025(JIS Q 17025) に基づくマネジメントシステムに基づいて実施される 42

2. IT セキュリティ評価及び認証制度の手続き評価作業の実際 5 TOE 評価 ( つづき ) すべての評価報告書 (ETR) の検証が終了すると認証機関より評価終了の連絡が届くので ETR( 正式版 ) 及び電子データ (CD) を認証機関へ提出すること認証機関より認証報告書のレビュー依頼が来たら速やかに内容を確認し誤記等があれば指摘を行う 43

2. IT セキュリティ評価及び認証制度の手続き評価の独立性公平性の確保評価の独立性 JISEC では評価機関並びに評価者に対して評価の独立性と公平性の確保を求めている評価機関の評価チームのメンバー並びに評価機関の責任者に対して ST や TOE 評価証拠資料の作成を禁止している評価の独立性公平性チェックリスト ( 評価機関 ) ( 評価者 ) に事実を記載し認証申請者へ提出する評価メンバーを追加する場合も上記チェックリストを作成し提出する ST の作成や TOE 証拠資料の作成についてコンサルティングを行ったものは当該案件の評価に携われないコンサルティングを行った組織の長は評価メンバーの組織の長であってはならない 44

3. 本制度の活用のための Tips 評価機関の選び方 1 2 3 各評価機関を実際に見てみる各評価機関の技術責任者シニア評価者と面談する評価契約にサービスレベル条項があるか本来脆弱性テストは評価機関のテスト環境に対象製品を設置してテストを実施するものでありテスト環境やツール模擬テスト等のデモを見てみるとよい対象製品についての評価実績について確認したり過去の評価における脆弱性分析で発見した具体的な事例暗号や通信プロトコルの評価ツールなどについて面談で確認するとよい評価の品質が原因で脆弱性の見逃しがあり市場で問題が発生した場合への対処についてあらかじめ合意しておくとよい 4 コンサルティングサービスに過度な期待を抱かないコンサルタントの誤った理解によっては逆に評価に時間がかかることがあるあくまでも製品のセキュリティ仕様については開発者の理解と責任が求められる 5 開発者目線で評価の品質を分析して有効性を評価する定期的な見直し適正な競争により評価品質の維持向上が期待される 45

3. 本制度の活用のための Tips CC 関連講座のご案内 IPA において定期的に開催する講座 IT セキュリティ製品の評価認証制度に関する説明会 ( 本講座 ) 内容 : CC 及び日本における運用制度に関する紹介対象 : CC に関する知識を有していない方 ST 作成に関する説明会 (7 月 1 日終了 ) 内容 : ST の概要目的サンプルをベースにした解説対象 : CC に関する基本的な知識を有した方 ( 本講座の受講者等 ) 証拠資料作成講座 (7 月 8 日終了 ) 内容 : 開発証拠資料作成のポイント評価のポイントに関する解説対象 : CC に関する基本的な知識を有した方 ( 上記講座の受講者等 ) 詳しくは JISEC ホームページへ 46

3. 本制度の活用のための Tips JISEC に関する情報の入手先 (1) <JISEC 関連情報 > JISEC 及び CC について消費者調達者のみなさま認証製品リスト申請者のみなさま認証申請評価機関承認申請規程集 / 様式集評価機関リストハードウェア評価認証 ST 確認制度その他 JISEC ポータルサイト http://www.ipa.go.jp/security/jisec/index.html 47

3. 本制度の活用のための Tips JISEC に関する情報の入手先 (2) 関連するリンク先 JISEC Web サイト CC/CEM( 規格 ) CCRA 公式サイト JISEC 認証製品リスト JISEC 評価中リスト申請手続 ( 認証申請 ) 申請手続 ( 評価機関 ) JISEC 規程集海外のプロテクションプロファイルの翻訳政府機関統一基準セキュリティ要件リスト http://www.ipa.go.jp/security/jisec/index.html http://www.ipa.go.jp/security/jisec/cc/index.html http://www.commoncriteriaportal.org/ http://www.ipa.go.jp/security/jisec/certified_products/cert_listv31.html http://www.ipa.go.jp/security/jisec/certified_products/in_eval_list.html http://www.ipa.go.jp/security/jisec/application/application_2.html http://www.ipa.go.jp/security/jisec/application/application_3.html http://www.ipa.go.jp/security/jisec/prcdr.html http://www.ipa.go.jp/security/publications/pp-jp/index.html http://www.nisc.go.jp/active/general/pdf/kijyun26.pdf http://www.meti.go.jp/press/2014/05/20140519003/20140519003.pdf 48

認証製品の数々ファイアウォール侵入検知 / 防止システム (IDS/IPS) アプリケーションサーバ生体認証 IC カード関連アクセス制御デジタル複合機ネットワーク OS 認証製品数は約 2,540 件 (2014 年 6 月現在 ) 世界の様々な分野で活躍しています HSM ( 暗号鍵管理 ) データ保護 ( ソフトウェア ) ERP サーバ OS データベーステレフォニーシステム 49

CCRA に関する情報の入手先 CCRA ポータルサイト http://www.commoncriteriaportal.org/ < 主な情報 > CCRA 新アレンジメント案移行計画 CC の規格関連文書の提供 cpp 開発状況とテクニカルコミュニティ相互承認の対象の認証製品リストプロテクションプロファイル ICCC 開催情報へのリンク 50

ご清聴ありがとうございました 51