PR

4.CCの最新動向

4.1 制度改革の背景

 これまで,日本では政府調達要件としてPPの作成が行われず,製品ベンダ主導で各社独自のSTに基づく評価・認証が行われてきた.このPP適合ではない独自STによる評価では自由な記述が可能である一方,STの内容が適切であるかどうかの文書審査に時間がかかる点や不適切なセキュリティ課題定義であると,評価が無意味となる点のデメリットが指摘されてきた.調達者にとって,適切なセキュリティ機能について評価されない独自STによる評価が行われたり,評価期間が長期間かかることでタイムリーな調達がしづらくなっていた.

 一方,海外では,各国政府がそれぞれ独自のPPを作成し,複数のPPが乱立したため,少しずつ異なるPPのために製品ベンダはPPごとに複数の評価・認証が求められる事態となった.さらに,評価保証レベルEAL4(ソースコード,回路図まで確認するレベル)での評価にはおおむね18カ月という長期間がかかることになり,タイムリーな調達ができなくなっていた.

 また暗号評価が不十分なために,脆弱性が顕在化する可能性があり,乱数生成や暗号プロトコルなど評価に必要なセキュリティ機能がCCに定義されていなかった.

 さらに製品分野に対応したPPごとに求められるセキュリティレベルにバラツキがあり,別な製品の脆弱性により,同一ネットワークに潜在的な脆弱性が残存した.そこでネットワーク製品に共通するセキュリティ機能をネットワーク基盤PPとして定めることでレベルの統一を図る必要が生じた.こういう事態になったことで,ベンダ側からスムーズにタイムリーな調達をし,コスト削減したいという要望が強くなされ,CC認証制度は改革の必要にせまられた.これまでのITセキュリティ評価における問題を解決するために,各国政府ならびに最新技術の知見を持つ製品ベンダの技術者,評価機関が協力して,各技術分野にひとつのPPをcPP(collaborative Protection Profile)として開発し,CCRA加盟国が政府調達において最大限に活用することに2012年9月に合意した.それと同時に,CCRAの公式サイト[8] にMC Vision Statement [9] として発表された.