IT 製品のセキュリティ認証の新たな枠組みの動向と展望

Similar documents
IT 製品の利用でセキュリティを考慮すべき場面 IT 製品 OS DBMS FW IDS/IPS 1-1 製品調達時 製品に必要なセキュリティ機能は? セキュリティ要件 ( 要求仕様 ) の検討 2 運用 保守時 セキュリティ機能を正しく動作させる 適切な設定値 パッチの適用 IC カード デジタル

バイオメトリクス認証とセキュリティ評価

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

目 次 1. IT セキュリティ評価及び認証制度の概要 制度の目的 国際標準に基づくセキュリティ要件 調達での活用 セキュリティ要件の例 ITセキュリティ評価の共通基準( 国際標準 ) CC 評価の概要 国際的な承認アレンジメント(CCRA) 2. 認証申請者に係る手続き 認証取得までの流れ 保証継

スキル領域 職種 : ソフトウェアデベロップメント スキル領域と SWD 経済産業省, 独立行政法人情報処理推進機構

目次! ISO/IEC の意義! ISO/IEC の運用! 欧米の対応と製品評価状況! ISO/IEC の内容! 日本の取り組み 2

Copyright Compita Japan ISO33k シリーズとは? これまで使用されてきたプロセスアセスメント標準 (ISO/IEC 本稿では以降 ISO15504 と略称する ) は 2006 年に基本セットが完成し 既に 8 年以上が経過しています ISO

SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

スキル領域 職種 : マーケティング スキル領域と MK 経済産業省, 独立行政法人情報処理推進機構

Microsoft PowerPoint - 第6章_要員の認証(事務局;110523;公開版) [互換モード]

<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>

JICA 事業評価ガイドライン ( 第 2 版 ) 独立行政法人国際協力機構 評価部 2014 年 5 月 1

目次 1. 一般 目的 適用範囲 参照文書 用語及び定義 内部監査 一般 内部監査における観点 内部監査の機会 監査室

2006/6/ /9/1 2007/11/9 () 2011/4/ ( ()) ii

ISO9001:2015内部監査チェックリスト

PowerPoint プレゼンテーション

ハードウェア暗号モジュール (HSM) とは 決まった定義は存在しないが 以下の特性 ( もしくはその一部 ) を備えるものを指す 暗号処理および鍵管理デバイスが備えるべき特性を定義した 国際規格などの認定を取得しているデバイス FIPS CommonCriteria JCMVP 等 IC チップ搭

ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構技術本部セキュリティセンター大道晶平

SHODANを悪用した攻撃に備えて-制御システム編-

ログを活用したActive Directoryに対する攻撃の検知と対策

Microsoft Word - JSQC-Std 目次.doc

ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版 株式会社 TBC ソリューションズ プログラム 年版改定の概要 年版の6 大重点ポイントと対策 年版と2008 年版の相違 年版への移行の実務

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

SiteLock操作マニュアル

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

MSSGuideline ver. 1.0

目次 取組み概要 取組みの背景 取組みの成果物 適用事例の特徴 適用分析の特徴 適用事例の分析結果から見えたこと JISAによる調査結果 どうやって 実践のヒント をみつけるか 書籍発行について紹介 今後に向けて 2

橡セキュリティポリシー雛形策定に関する調査報告書

2 診断方法および診断結果 情報セキュリティ対策ベンチマークは 組織の情報セキュリティ対策の取組状況 (25 問 + 参考質問 2 問 ) と企業プロフィール (15 項目 ) を回答することにより 他社と比較して セキュリティ対策の 取組状況がどのレベルに位置しているかを確認できる自己診断ツールで

TLPT の G7 基礎的要素 はさまざまな TLPT の手法の互換性を高めることを 目指すものであり 既存のフレームワークを無効化したり 変化する脅威状況 へ継続的に適応することを妨げるものではない TLPT とは? TLPT 1 は ( 金融機関の ) コントロール下において 実在の攻撃者の戦術

ISO9001:2015規格要求事項解説テキスト(サンプル) 株式会社ハピネックス提供資料

ソフトウェア品質説明 平成25年6月公開 2

各 SAQ (v3.2.1 版 ) を適用すべきカード情報取扱い形態の説明 / JCDSC 各 SAQ の 開始する前に の部分を抽出したものです カード情報の取り扱い形態が詳しく書かれていますから 自社の業務形態に適合する SAQ タイプを検討してください 適合しない部分が少し

Microsoft Word - 規則11.2版_FSSC22000Ver.4特例.doc

が実現することにより 利用希望者は認証連携でひもづけられた無料 Wi-Fi スポットについて複数回の利用登録手続が不要となり 利用者の負担軽減と利便性の向上が図られる 出典 : ICT 懇談会幹事会 ( 第 4 回 )( 平成 27(2015) 年 4 月 24 日 ) 2. 現状 日本政府観光局

監査に関する品質管理基準の設定に係る意見書

PowerPoint プレゼンテーション

Microsoft Word - SAQタイプ別の説明 _Ver3.2.docx

ISO/TC176/SC2/N1291 品質マネジメントシステム規格国内委員会参考訳 ISO 9001:2015 実施の手引 目次 1.0 序文 2.0 ISO 9001:2015 改訂プロセスの背景 3.0 ユーザグループ 4.0 実施の手引 4.1 一般的な手引 4.2 ユーザグループのための具

Windows の新しいアクセス制御ポリシー ~ 随意アクセス制御と強制アクセス制御 ~ 横山哲也 グローバルナレッジネットワーク株式会社

修-CIA Exam Change Handbook_FAQs_ indd

資料1:地球温暖化対策基本法案(環境大臣案の概要)

4.7.4 プロセスのインプットおよびアウトプット (1) プロセスへのインプット情報 インプット情報 作成者 承認者 備 考 1 開発に関するお客様から お客様 - の提示資料 2 開発に関する当社収集資 リーダ - 料 3 プロジェクト計画 完了報 リーダ マネージャ 告書 ( 暫定計画 ) 4

はじめに ウイルスに感染させるための罠が仕掛けられた悪意のある文書ファイルは これまでにも Office の脆弱性の悪用や マクロ機能を悪用する手口のものがありました 昨今 それらとは異なる新たな攻撃手口を使ったものが出てきています 本資料は 新たな攻撃手口について紹介し 注意点を説明するものです

セキュリティ委員会活動報告

表 3 厚生労働省新旧ガイドライン目次比較 は新ガイドラインで追加された項目 コンピュータ使用医薬品等製造所適正管理ガイドライン 第 1 目的 1. 総則 1.1 目的 第 2 適用の範囲 2. 適用の範囲 第 3 開発業務 1. 開発検討段階 (1) 開発段階の責任体制の確立 (2) 開発マニュア

JIS Q 27001:2014への移行に関する説明会 資料1

情報セキュリティの現状と課題

5. オープンソースWAF「ModSecurity」導入事例 ~ IPA はこう考えた ~

<4D F736F F D2093C192E895578F8089BB8B408AD A8EC08E7B977697CC FC90B394C5816A2E646F6378>

UCCX ソリューションの ECDSA 証明書について

組織内CSIRT構築の実作業

i コンピテンシ ディクショナリ を 活用した品質エンジニアの育成 その 2 独立行政法人情報処理推進機構 HRD イニシアティブセンター 奥村有紀子

マイナンバー制度 実務対応 チェックリスト

内閣官房情報セキュリティセンター(NISC)

<4D F736F F D208DBB939C97DE8FEE95F18CB48D EA98EE58D7393AE8C7689E6816A2E646F63>

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

Transcription:

vol.9 2015 技術動向レポート 情報研究通信部 情報セキュリティ評価室 室長 金子浩之 マネジャー大堀雅勝 IT 分野の製品を対象としたCommon Criteria(CC) に基づくITセキュリティ評価 認証制度は セキュリティ要求の共通化や認証に係る期間短縮 トータルコストの低減を目標に より合理的な仕組みへの転換を図りつつある 本稿ではCC 認証の国際相互承認に関する制度改革に向けた取組みを解説する はじめに昨今話題となる情報システムの脆弱性は そのシステムの構成要素であるソフトウェアやハードウェアなどのIT 製品に残存する脆弱性が起点となり 攻撃者の不正アクセスや情報漏洩のよりどころを与えるケースが多い 安全性の高いIT 製品は システムの安全性の確保に寄与するためのセキュリティ機能を備えている このセキュリティ機能が正しく動作することを検証するためには 動作不全や不当な干渉に対する耐性検査や攻撃者の行動を模擬した侵入検査なども求められる これらの検査を利用者がIT 製品の受入時に実施することは効率や技術および環境といった点から困難なことが多く 検証方法が適切であることの確認も難しい そのため IT 製品の開発者自身がセキュリティ機能の正当性を保証し その保証の信頼性を設計 実装の観点から共通の基準に基づいて第三者が評価する仕組みが重要となる この保証と評価の標準を国際規格としたものがITセキュリティ評価基準 (ISO/IEC15408) 通称コモンクライテリア (CC:Common Criteria) であり 第三者による評価手法を ISO/IEC18045と して規格化したものがITセキュリティ評価のための共通方法 (CEM:Common Evaluation Methodology) である 日本では2001 年から CC 及びCEM を適用した ITセキュリティ評価及び認証制度 (1) の運用を開始し 2003 年には同基準を使って認証した製品を国際的に流通させるための相互承認協定 (CCRA:Common Criteria Recognition Arrangement) に加盟した 本稿では CCRA の新たな方針に至る経緯を解説し 現在の動向と今後の展開について考察する 1.CC の歴史背景 IT 製品のセキュリティに関する評価基準は 1980 年代から欧米各国の政府調達において 主に軍関連のシステムへ民生品を活用するために策定され 米国では1983 年に通称オレンジブック (TCSEC:Trusted Computer Security Evaluation Criteria) が制定された 一方 市場統合が進みつつあった欧州では 1990 年代に入ると各国基準の統合化が進められ ドイツ イギリス フランス オランダの4か国により共通評価基準 (ITSEC:Information Technology Security Evaluation Criteria) が 1

制定された オレンジブックが評価クラスという主に機密性を確保するためのシステムを段階的に定義しているのに対し ITSECはセキュリティ機能の要件をカテゴリごとに分類し システム特性に応じた要件定義が可能なものであった その頃 情報システムを取り巻く環境においてはシステムのオープン化が本格化し 製品を輸出するベンダーにとっては 異なる複数の基準に適合させる負担が増してきていた また 技術面からもネットワーク分野など技術の標準化の検討が進む中で 従来のセキュリティ要件の概念を再構成する必要性が生じてきた このような背景のもと TCSEC とITSEC を統合し共通化した基準として1996 年にCC Version1.0が発行され 1999 年には ISO/IEC15408として規格化された 現在の CC のバージョンは Version3.1R4である また CCRA においては1998 年に認証制度を持つ認証国に限定した協定が発効され 2000 年以降は認証制度を持たない受入国の参加も認められるようになった 2015 年 1 月現在 CCRA の加盟国は26ヶ国であり そのうち17ヶ国は CC 及びCEM に基づく自国の認証制度を運営する認証国である CCRA のポータルサイト (2) から公開される CCRA 認証製品を図表 1に示す 各認証国の認証製品は ベンダーからの掲載申請があり 一定の条件を満たすものが掲載される 認証の有効期限は各認証国の規定に基づいて運用されている 図表 1には既に有効期限が過ぎアーカイブされた製品ならびにベンダーから公開申請のない認証製品は含まれていない これらを鑑み 現在までのCC 認証の総数は3,000 件を上回るものと推定される なお 国内のCC 認証は約 450 件であり 半数以上がデジタル複合機分野の製品で占められている 2. 新しい国際協定の枠組み CC には セキュリティ要件をプロテクションプロファイル (PP) という形式でまとめ そのPPに基づく保証と評価を求める仕組みがある 欧米の認証国は 有識者やベンダー業界と 図表 1 CCRA ポータルサイトから公開される CC 認証製品 (2015 年 1 月時点 ) ( 資料 )CC ポータルサイトからの公開資料をもとに筆者作成 2

ともに自国の主に政府調達で求められる製品分野毎のセキュリティ要件からなるPP 群を用意し 一部は他国でも活用できるようにCCRA に公開した その結果 同じ製品分野で異なるPPが乱立する状態となった PPが異なると セキュリティ機能の要件の不一致や環境条件の不整合のみならず 要求する保証レベルや評価方法にばらつきも生じる そのため 他国のPPで認証された製品は 受入側の国の政府調達の要求を満たさないといった場面もでてきた また 各国のPPは比較的高い保証レベルを求める傾向にあり その結果 評価期間の長期化とコスト増加などのベンダー負担の増大 タイムリーに認証製品を調達できないといった問題が表面化してきた そのほかCEMの問題も指摘された CEMの評価方法は製品分野を特定しない抽象的な表現であるため 評価者の技量に委ねられる度合いが高いことから 評価の再現性の確保や品質維持に係るプロセスを効率化するための抜本的対策が望まれた CCRA の各加盟国は これらの課題を解決するために 1 技術分野毎のPPを統合 共通化すること 2PPの理解一致を促進すること 3 評価の再現性と品質を確保すること 4 各国認証制度の評価 認証において同様の結果が得られるようにすること 及びこれらの結果として評価の期間短縮 コスト圧縮効果を実現することを目指し 2014 年 7 月にCCRA の新しい協定書 Arrangement on the Recognition of Common Criteria Certificates in the Field of Information Technology Security を発効した この新協定に基づき CCRA では各国の政府調達で必要な技術分野毎にテクニカルコミュニティを立ち上げ 各国制度の承認のもと 共通化される新たなcPP(collaborative Protection Profile) とサポート文書の開発を協力して進めることとなった cppの開発に当たっては 図 表 2に示すようなベンダーや協賛国の制度関係者とのパートナーシップを構築し cppの利用方法やその技術分野に対応した評価手法について関係者間の十分な議論を経て cppとサポート文書などのマテリアルを作成 共有することとなった 2015 年 1 月現在 USBメモリ ネットワークデバイス ファイアウォール フルディスク暗号化の3つのcPPが開発過程にあり (3) モバイル分野など政府調達でも今後の活用が見込まれる技術分野のcPP 化も視野に入れながら 重要な技術分野のcPP 開発の検討が進められている 新協定ではcPPに準拠した認証製品をCCRA の相互承認の対象とするが 現時点では開発が完了したcPPは存在しないため 従来のPPや独自にセキュリティターゲット (ST) を定めて保証 評価を行った認証製品の相互承認を3 年間 ( 2017 年 9 月まで ) 有効とし その後は対象とする保証レベルを限定する移行措置を設定している 今後は CCRA の新たな枠組みのビジョンに沿って 必要な技術分野のcPPを拡充していくこと CCRA 加盟国の各ステークホルダーの参加 協力体制を維持 促進していくことが重要なテーマとなる とりわけ米国はcPP 開発に対しても意欲的に活動している 米国のCC 認証機関であるNIAP (National Information Assurance Partnership) は 国家安全保障局 (NSA) と連携し 図表 3に示すような重要な IA(Information Assurance) (4) 製品向けのPP 開発を進め 関係国と協同してこれらのPPをcPP 開発のベースとすることで CCRAに貢献するとしている 3. 日本における動向日本の政府機関のシステム調達におけるIT 製品の扱いは 政府機関の情報セキュリティ対策のための統一基準 ( 平成 26 年度版 ) (5) に定 3

図表 2 cpp の開発体制 ( 資料 ) 各種資料をもとに筆者作成 図表 3 NIAP で承認された米国の PP(2015 年 1 月時点 ) ( 資料 )NIAP サイトからの公開資料をもとに筆者作成 4

められている 統一基準では 機器調達時に経済産業省が定める IT 製品の調達におけるセキュリティ要件リスト (6) の手順でセキュリティ要件を満足することを受入検査で確認することが示され CC 認証製品など国際基準による第三者認証を活用することが推奨されている 同リストには 対象製品分野として 1デジタル複合機 (MFP) 2ファイアウォール 3 不正侵入検知 防止システム (IDS/IPS) 4 OS( サーバOS) 5データベース管理システム (DBMS) 6 スマートカード ( ICカード ) に加え 今後の追加候補として USBメモリが挙げられている 日本のCC 認証制度は 独立行政法人情報処理推進機構 (IPA) が認証機関となり 上記の政府調達で扱われる国内製品を主としてCC 認証を推進してきた 他国の認証制度と比較すると MFPとスマートカード以外の分野ではPP が適用されず 独自にSTを定義して評価 認証を受けるケースが多いのが特徴である 独自のST は自社製品の特性に合わせた評価を求めるために用いられるが 独自であるがために評 価方針の合意形成が長期化し 個別の評価方法が採用され製品間の比較が難しいなど 必ずしも調達側の要求に合致しない状況であった 今回のCCRA 改革を期に CCRA の新協定が目指す目標を共有し PPベースの評価を原則とする方向への舵取りが本格化しつつある デジタル複合機分野では 図表 4のように現在使用されているPP(IEEE Std.2600シリーズ ) に代わる新しいMFP 分野のPPを米国 NIAPと共同開発中であり 近い将来 日米 CC 認証制度で利用が開始される予定である 4. 今後の課題と展望 cppの開発はccraのポータルサイトで公開され またその前段階の技術分野毎のPP 化に向けた検討 ( たとえば日米のMFP-PPの開発等 ) はCC-Forum (7) という登録制のポータルサイトを通じて議論が進められている CCRAの一連の改革を成功へと導くためには 完全移行までの約 2 年半の期間において cppでカバーする技術分野を拡充し ベンダーをはじめ評価 認 図表 4 MFP 分野の既存の PP と日米で開発中の PP の比較 シリーズ ( 資料 ) 各種資料をもとに筆者作成 5

証の各役割すべてがcPPと評価ガイダンスの内容を十分理解し共有することが鍵となる そのためにも各ステークホルダーがcPPを共同開発するiTCに参画し 時勢に即した要件定義や現状及び今後において有効となる評価手法の検討に主体的に関わることが求められている オープン化の流れに乗って適用が進みデファクトと認識される技術や 市場からの信頼を得たIT 製品などが広く利用されているが 最近は比較的安全といわれた適用頻度の高いIT 製品にも深刻な脆弱性の報告が相次いでいる CC 認証を取得したIT 製品であっても 新たに発見される脆弱性の影響を受けるケースが存在することから 本制度にも脆弱性へのタイムリーな対応に向けた体制整備が望まれ 制度関係者 ベンダー 利用者の連携体制の実効性を高めていくことが求められる 注 (1) IT セキュリティ評価及び認証制度 (JISEC) は独立行政法人情報処理推進機構 (IPA) が認証機関を担当 http://www.ipa.go.jp/security/jisec/index.html (2) CCRA のポータルサイトではCCRA の規定文書 CC 認証製品リストなどが公開されている http://www.commoncriteriaportal.org/ (3) CCRA ポータルサイトのTechnical Communities を参照 http://www.commoncriteriaportal.org/ communities/ (4) NSAが進めるIADプログラム (Information Assurance Directorate) や CSFCプログラム (Commercial Solutions for Classified) が対象 (5) 内閣サイバーセキュリティセンターの URLを参照 http://www.nisc.go.jp/active/general/kijun26.html (6) http://www.meti.go.jp/press/2014/05/ 20140519003/20140519003.html (7) CC-Forum のポータルサイト ( 登録制 ) https://ccusersforum.onlyoffice.com/ 6

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック