PR

4.2 ICCC 2014への参加と海外におけるcPP活用促進

 筆者らは,2014年9月9日から11日にインド/ニューデリーで開催された「第15回 国際コモンクライテリア会議ICCC 2014」に参加した.2013年9月16日に,インドが18カ国目の認証書生成国(CAP)として承認されて,今回のICCCの開催国となり,3日間の日程でICCCが開催された.参加者は,約250名であった.CCRA MC(Management Committee:運営委員会)議長のDag Ströman氏より,CCRA新アレンジメントの発効と今後の運営について,CCRA CCDB(Common Criteria Development Board:CC開発委員会) 議長のDavid Martin氏よりCCDBおよびcPP開発の最新情報についての報告があった.

 その後,3つのトラック(1. CCのビジネス上の価値,2. CC技術,3. CCの方向性)に分かれ,54件の発表があり,筆者の1人である村田はトラック1で「Scheme Update of Japan(日本の認証実績・政府調達での活用に向けた取組み等の最新状況)」について話し,筆者の1人である金子はトラック2で研究テーマである「コモンクライテリアに基づいたセキュリティ分析と保証の統合手法CC-Case」について話した[10] .

 ICCC 2014に先立って開催されたITセキュリティ評価・認証に関する国際承認アレンジメントCCRA会合では,2014年9月8日にこのステートメントに基づきCCRA新アレンジメントへCCRA全加盟国26カ国が署名を完了し,このcPPへの適合評価およびそれ以外のITセキュリティ評価についてはEAL2までをCCRAでの相互承認の適用範囲とすることになった.従来のPPとcPPの違いを表3に示す.

表3●従来のPPとcPPの違い
表3●従来のPPとcPPの違い
[画像のクリックで拡大表示]

 cPPはテスト重視であり,実際のセキュリティを保った上でタイムリーな調達が可能になる.すでにこの取り組みに先行する米国では,ITセキュリティ評価を90日以内に完了する目標を達成しつつある.

STによる文書審査中心の評価→cPPまたは
PPに適合するための技術分野ごとのテスト
や脆弱性分析中心の評価に移行

4.3 国内:経産省の通達とセキュリティ要件

 日本での政府調達におけるIT製品の調達方針は,「政府機関のセキュリティ対策のための統一基準」(政府セキュリティ政策会議決定)の中で定められている.平成26年度版の統一基準では,IT製品を調達する際には「IT製品の調達のためのセキュリティ要件リスト」(経済産業省策定)を参照し,利用環境における脅威を分析した上で,当該機器等に存在する情報セキュリティ上の脅威に対抗するためのセキュリティ要件を策定することが求められている.

 「IT製品の調達のためのセキュリティ要件リスト」には,各製品分野ごとにセキュリティ上の脅威と脅威に対抗するためのセキュリティ要件としてPPが記載されており,PPに適合した評価済みの製品の調達が推奨されている.本リストでは現在日本国内で実績のあるデジタル複合機,ファイアウォール,IDS/IPS,OS(サーバーOS),データベース管理システム,スマートカード(ICカード)の6分野になっている.今後順次拡充を目指しており,USBメモリが候補となっている.これにより,調達者・利用者はセキュリティ知識がなくても,セキュリティ要件リストを基に製品の調達・購入が可能となる.