IT 製品の利用でセキュリティを考慮すべき場面 IT 製品 OS DBMS FW IDS/IPS 1-1 製品調達時製品に必要なセキュリティ機能は? セキュリティ要件 ( 要求仕様 ) の検討 2 運用保守時セキュリティ機能を正しく動作させる適切な設定値パッチの適用 IC カードデジタル

セキュリティ要件リストと CC の動向 2014 年 9 月 29 日情報処理推進機構技術本部セキュリティセンター

IT 製品の利用でセキュリティを考慮すべき場面 IT 製品 OS DBMS FW IDS/IPS 1-1 製品調達時製品に必要なセキュリティ機能は? セキュリティ要件 ( 要求仕様 ) の検討 2 運用保守時セキュリティ機能を正しく動作させる適切な設定値パッチの適用 IC カードデジタル複合機 USB メモリ 1-2 納品検査時要求仕様通りのセキュリティ機能が実装されていることの確認 3 更改廃棄時機密情報を抹消した上で廃棄リース返却

IT 製品毎に適切なセキュリティ機能が必要 ~ セキュリティ要件の検討 ~ 管理機能への不正アクセスによるポリシー侵害製品分野毎に考慮すべき脅威は異なる許可されないリソース機能への不正アクセス FW IDS/IPS OS DBMS 利用者識別認証機能等アクセス制御機能等暗号化機能等リース返却後の文書データの漏えい複合機耐タンパ機能等放置紛失盗難等による機密情報の漏えい USB メモリ HDD 完全消去機能等 IC チップへの攻撃 ( 不正なデータ読み出し ) IC カード

政府機関の情報セキュリティ対策のための統一管理基準群 ( 平成 24 年度版 ) 1.5.1.1 情報システムのセキュリティ要件遵守事項 (1) 情報システムの計画 (d) 情報システムセキュリティ責任者は構築する情報システムの構成要素のうち製品として調達する機器及びソフトウェアについて IT セキュリティ評価及び認証制度に基づく認証取得製品を調達する必要性については IT セキュリティ評価及び認証制度に基づく認証取得製品分野リストを参照し必要があると認めた場合には当該製品の分野において要求するセキュリティ機能を満たす採用候補製品が複数ありその中に要求する評価保証レベルに合致する当該認証を取得している製品がある場合において当該製品を情報システムの構成要素として選択すること http://www.nisc.go.jp/active/general/pdf/k304-111.pdf 4

http://www.meti.go.jp/policy/netsecurity/cclistmetisec2011.pdf 5 IT セキュリティ評価及び認証制度等に基づく認証取得製品分野リストの問題点一般的に必要となるセキュリティ機能脅威分析セキュリティ要件の策定は調達者におまかせとにかく ISO/IEC15408 (Common Criteria) の認証取得製品を調達することを求める部分的な脅威にだけ対抗できる認証取得製品の方が幅広い脅威に対抗できる認証未取得製品よりも優先的に調達されてしまう可能性も

ISO/IEC15408(Common Criteria) の概要 ~IT セキュリティ評価及び認証制度 (JISEC)~ IT 製品様々な IT 製品に求めるセキュリティ機能要件 OS DBMS FW IDS/IPS デジタル複合機 USB メモリ IC カード要件リスト掲載の米国政府 FW の要件要件リスト掲載の IEEE で定められた複合機の要件ベンダ独自に策定した自社製品の要件評価機関 ISO/IEC 15408 認証機関国際的な認証を付与国際標準に定められた評価方法手順製品の開発ライフサイクル全体をスコープとし開発資料を基に専門家が客観的に検査要件が適切に実装されているか脆弱な部分がないか IT セキュリティの専門家が第三者の立場で製品がセキュリティ機能要件を満たしていることを確認 ( 調達者は納品検査時に認証取得を確認すれば OK) 6

ISO/IEC15408(Common Criteria) の概要 ~IT セキュリティ評価及び認証制度 (JISEC)~ IT 製品様々な IT 製品に求めるセキュリティ機能要件 OS DBMS FW IDS/IPS デジタル複合機 USB メモリ IC カード要件リスト掲載の米国政府 FW の要件要件リスト掲載の IEEE で定められた複合機の要件ベンダ独自に策定した自社製品の要件評価機関 ISO/IEC 15408 製品の一部の機能しか要件化していない認証機関例えば HDD 完全消去機能だけを要件化 ( 実際には識別認証機能アクセス制御機能暗号化機能等を実装しているにも関わらず ) 国際的な認証を付与一部の機能しかセキュリティ評価されていない製品でも認証は付与される 7

平成 24 年度版統一基準での製品分野リスト活用のロジック認証取得製品分野リストを参照し必要があると認めた場合製品分野リスト認証製品が複数ある分野参考参考機能を満たす候補製品が複数存在認証製品が複数ある6 分野について一般的なセキュリティ機能を羅列製品分野毎の脅威分析セキュリティ要件の策定は調達者に丸投げ参考程度に国際標準に基づくセキュリティ要件 (:ProtectionProfile) を提示要求する評価保証レベルに合致する認証を取得している製品がある当該製品を構成要素として選択する問題点 1 リストを参照し必要があると認めた場合の判断基準が不明確 2 リストの使い方が不明確 ( 脅威分析セキュリティ要件に役立たない ) 3 国際標準に基づくセキュリティ要件 (ProtectionProfile) の必要性が不明確 8

9 政府機関の情報セキュリティ対策のための統一基準群 ( 平成 26 年度版 ) 5.2.1 情報システムの企画要件定義遵守事項 (2) 情報システムのセキュリティ要件の策定 (c) 情報システムセキュリティ責任者は機器等を調達する場合には IT 製品の調達におけるセキュリティ要件リストを参照し利用環境における脅威を分析した上で当該機器等に存在する情報セキュリティ上の脅威に対抗するためのセキュリティ要件を策定すること http://www.nisc.go.jp/active/general/pdf/kijyun26.pdf

平成 26 年度版統一基準でのセキュリティ要件リスト活用のロジックセキュリティ要件リストを参照し該当する分野の製品である場合要件リスト製品分野リスト認証製品が複数ある分野参考参考機能を満たす候補製品が複数存在製品分野毎に対抗すべき脅威を提示脅威に対抗できる国際標準に基づくセキュリティ要件 (ProtectionProfile) を選択肢の1つとして推奨随時分野を拡大していく要求する評価保証レベルに合致する認証を取得している製品がある記載の脅威が存在する場合には対抗する問題点の解消 1 リストを参照し必要があると認めた場合の判断基準が不明確脅威が存在する場合 2 リストの使い方が不明確脅威分析に活用可能 3 国際標準に基づくセキュリティ要件 (ProtectionProfile) の必要性が不明確脅威に対抗するためのセキュリティ要件 10

IT 製品の調達におけるセキュリティ要件リスト製品分野特有のセキュリティ上の脅威を列挙何が保護資産なのか? 保護資産に対する脅威は何か? 考慮すべき脅威のベースライン上記脅威に対抗できる国際標準に基づくセキュリティ要件を提示 ISO/IEC15408(Common Criteria) に基づいたセキュリティ要求仕様 (Protection Profile) http://www.meti.go.jp/policy/netsecurity/cclistmetisec2014.pdf ISO/IEC19790( 暗号モジュール対するセキュリティ要求事項 ) も活用 11

国際標準に基づくセキュリティ要件 ~ ISO/IEC15408 における Protection Profile~ Protection Profile() 通信データ HDD 上のデータ ID パスワード等保護資産脅威ネットワーク盗聴不正アクセス利用者なりすまし等脅威を増大させないために前提となる利用環境セキュリティ保証要件 ( どのレベルまで検査する?) セキュリティ機能要件 ( 製品にどういう機能が必要?) 機能仕様書等の検査管理者利用者マニュアルの検査開発者が実施したテストの検査第三者の立場で脆弱性分析等通信データ暗号化利用者アクセス制御識別認証機能等製品分野毎に保護資産保護資産に対する脅威脅威に対抗するため必要となるセキュリティ機能要件第三者が検査すべき項目 ( セキュリティ保証要件 ) 等が専門家により定義策定されている 12

http://www.nisc.go.jp/active/general/pdf/kijyun26.pdf 13 政府機関の情報セキュリティ対策のための統一基準群 ( 平成 26 年度版 ) 5.2.1 情報システムの企画要件定義遵守事項 (2) 情報システムのセキュリティ要件の策定 (c) 情報システムセキュリティ責任者は機器等を調達する場合には IT 製品の調達におけるセキュリティ要件リストを参照し利用環境における脅威を分析した上で当該機器等に存在する情報セキュリティ上の脅威に対抗するためのセキュリティ要件を策定すること 5.2.2 情報システムの調達構築遵守事項 (3) 納品検査時の対策 (a) 情報システムセキュリティ責任者は機器等の納入時又は情報システムの受入れ時の確認検査において仕様書等定められた検査手続に従い情報セキュリティ対策に係る要件が満たされていることを確認すること

14 セキュアな IT 製品を調達するためのフローセキュリティ要件リストの出番 ISO/IEC15408(CC) 認証の出番

国際的な認証制度 ~ 世界各国で認証された製品が調達対象 ~ CCRA (Common Criteria Recognition Arrangement) ISO/IEC15408 を利用する国際的な枠組み (CCRA) に加盟しているのは 26 ヵ国ある国で評価認証された製品は他の加盟国でも相互に通用海外を含む様々なベンダから調達可能欧米諸国の政府調達要件に広く活用日本イギリスオランダスウェーデンフィンランドハンガリーカナダフランスドイツアメリカオーストラリアニュージーランドノルウェー韓国スペインイタリアトルコマレーシアギリシャイスラエルオーストリアチェコシンガポールインドデンマークパキスタン 2014 年 8 月現在 15

16 CCRA 現行制度における課題 CCRA 加盟国毎に各種 IT 製品 ( 例 :Firewall OS DBMS 等 ) において各国独自のセキュリティ要件 (:Protection Profile) を作成し調達要件としているケースが多いベンダは各国の調達要件となっている毎に評価認証を受ける ( 例えば A 国の B 国の C 国ので別々に認証を取得 ) 相互承認のメリットが半減評価認証費用は製品の価格にも影響 ( 調達側供給側とも不利益 ) 各国がバラバラなセキュリティ要件で調達

世界共通のセキュリティ要件 (c) へ共通化されたベースラインとなるセキュリティ要件 c(collaborative Protection Profile) CCRA 加盟国が共同で作成する政府調達のための世界共通のセキュリティ要件 c のコンセプト今までのでは過剰な評価内容になっていたものも存在していた必要最小限の評価でコスト削減認証取得までの時間短縮ただしテスト方法を具体的に記載することで評価品質確保セキュリティ要件が統一へ c CCRA の新たなアレンジメントが発行 (9/8) 経産省ニュースリリース http://www.meti.go.jp/press/2014/09/20140910001/20140910001.html IPA プレスリリース http://www.ipa.go.jp/about/press/20140910.html 17

https://www.ipa.go.jp/security/it-product/guidebook.html 18 セキュリティ要件リスト活用ガイドブック要件リスト要件リストの活用例注事事項などを解説ガイドブック疑問知見利用者 ( 調達者 ) CC 評価機関要望ベンダ想定される事情への対処 - 要件リストに提示されているものより厳しい要件が必要な場合認証取得製品の調達 - 認証取得見込み ( セキュリティ評価中 ) 製品を調達する場合製品分野に特有な注意事項 - 分野に該当するかどうかの判断該当しない場合の考え方 - ベンダ独自のセキュリティ要件での ISO/IEC15408 認証製品の活用調達時運用時の注意点 - 単体調達ではない場合の仕様記述 - 設置環境やパッチの適用等例えば : 複合機のモデル毎の活用例注意点オフィス向け大型機 SOHO 向け小型機インクジェットプリンタ ISO/IEC15408 認証取得製品多数要件リストをそのまま活用可能 (ISO/IEC15408 認証製品の活用を推奨 ) ISO/IEC15408 認証取得製品少数脅威分析に要件リストを活用可能 ISO/IEC15408 認証取得製品皆無要件リストの活用は困難なため別途調達時の注意事項を解説

19 セキュリティ要件リスト統一基準活用ガイドブックの関係広く一般に向けて公開調達で活用 IT 製品サポートサポート調達時に参照政府機関の情報セキュリティ対策のための統一基準群 ( 平成 26 年度版 ) IT 製品の調達におけるセキュリティ要件リスト活用ガイドブック日本の政府機関 IT 製品の調達におけるセキュリティ要件リスト

対象とする製品分野を拡充していきますまずは 6 つの製品分野を対象 ( 今後拡充予定 ) セキュリティへの需要がありつつも市場に要件を満たす製品 ISO/IEC15408 認証取得製品が揃っていない分野は対象候補と位置付け状況を検討し対象製品分野に移行していく ( 今後拡充予定 ) 20