ITセキュリティ評価及び認証 制度の活用について 平成13年9月 経済産業省 商務情報政策局 情報セキュリティ政策室 田辺 雄史 1 本日の内容 基本的な考え方 政府における本制度の位置づけ 政府調達における本制度の利用方針 ITセキュリティ評価及び認証制度の概要 運用のスケジュール ST評価・確認業務の活用 今後の展開 Office of IT Security Policy, METI 2 基本的な考え方 セキュアな電子政府構築のためには、情報セ キュリティ基盤の確保が必要不可欠 政府調達において、客観的な評価を受けた信 頼できるIT製品・システムを導入することが重 要 国際的な信頼性の確保、市場競争力確保の 観点から、国際的なアレンジメントの参加を目 指す(2003年度を目途) Office of IT Security Policy, METI 3 政府における本制度の位置づけ 4 政府の動き ミレニアム・プロジェクト 平成11年12月19日 【共通基盤技術開発】 ウイルス対策、不正アクセス対策、暗号技術等の技術開発に取り組むとともに、セキュ リティ評価体系を構築(通産省) ハッカー対策等の基盤整備に係る行動計画 平成12年1月21日 情報セキュリティ関係省庁局長等会議決定 1 政府部内における取組の強化 (1) セキュリティに関する信頼性の高い政府システムの構築 → 各省庁の調達におけるセキュリティ水準の高い製品等の利用方針 → 技術開発 (2) 監視・緊急対処体制の整備・強化 (3) 総合的・体系的な情報セキュリティ対策の検討 2 民間等における取組の推進 国以外の者(民間等)への情報提供、民間重要インフラ等に係る取組の推進 3 国際的連携の強化 IT戦略本部(情報セキュリティ対策推進会議、情報セキュリティ部会) 平成12年7月18日 「情報セキュリティポリシーに関するガイドライン」の策定 平成12年12月15日 「重要インフラのサイバーテロ対策に係る特別行動計画」の策定 Office of IT Security Policy, METI 5 e-Japan重点計画(METI関連) 平成13年3月29日 IT戦略本部 6.高度情報通信ネットワークの安全性及び信頼性の確保 ○暗号技術の標準化の推進 ○情報セキュリティマネジメント規格の確立 ○情報セキュリティ技術評価・認証事業の実施 2001年度中に、情報機器等の情報セキュリティ関連国際規格 (ISO/IEC15408)に基づいた評価・認証事業を開始するとともに、 2003年度までに、政府レベルでの認証に係る国際相互承認スキー ムへの参加を目指す。 ○不正アクセス対策・ウイルス対策等に関する情報提供体 制の強化 ○情報セキュリティに関する基盤技術の研究開発の推進 ○情報セキュリティに関する資格制度の整備 ○ハイテク犯罪対策の係る国際連携の強化 ○情報セキュリティに関するグローバル情報交換ネット ワークの構築 Office of IT Security Policy, METI 6 e-Japan2002プログラム 平成13年6月26日 IT戦略本部 5.高度情報通信ネットワークの安全性及び信頼性の確保 (1)信頼性の高い「電子政府の構築」 (2)サイバーテロ対策の強化 (3)情報セキュリティの意識の向上 (4)民間部門における情報セキュリティ対策への支 援 (5)情報セキュリティに係る基盤技術の開発 暗号技術、情報セキュリティ評価技術等の基盤技術の開発を行う ほか、国防・治安関連技術について支障のない範囲内で政府他部 門・民間にも公開する。 Office of IT Security Policy, METI 7 政府利用方針(ポイント) 平成13年3月29日 行政情報化推進各省庁連絡会議了承 各省庁は、セキュリティに関する信頼度の高い情報システムの構築 を図る観点から、今後の情報システムの構築に当たっては、可能な限 り、次のような方法等により、ISO/IEC15408に基づいて評価又は認証 された製品等の利用を推進するものとする。 •調達仕様書において、セキュリティ機能の全部又は一部が ISO/IEC15408に基づいて評価・認証された製品等で実現される ことを入札要件とする方法 •調達仕様書において、落札者が提案した製品等について ISO/IEC15408に基づくセキュリティ設計仕様書(Security Target)を作成し、納品までに評価機関による評価を受け合 格を取得することを契約事項とする旨明示する方法 ☆すなわち、政府調達の際には、可能な限り認証された製品を調達す るか、システムに関するSTの評価を受けることとなる。 Office of IT Security Policy, METI 8 ITセキュリティ評価及び認証制 度の概要 9 経緯 情報システムの個々の製品・システム等のセキュリティ機能を定義/共通化し、 個別製品等におけるセキュリティ要件を定め、その機能を保証レベルを設け、客 観的に評価し、その評価が適正な方法であることを認証するもの。 欧米諸国やロシアでは、十年程前から、軍事上の観点等から、自国 のセキュリティ評価・認証制度を運用 米国:TCSEC(オレンジブック。制度名TPEP。現在までに100以上の製品・システム)(1983 ~)、Federal Criteria(1992~)、英独仏蘭:ITSEC(現在までに200以上の製品)(1991~)、カ ナダ:CTCPEC(1991~) 新しい承認アレンジメントの合意(CC:Common Criteriaのスタート) 1998年、米英仏独加の5か国によるセキュリティ評価結果の相互承認を開始。その後オースト ラリア、ニュージーランド、ギリシャ、イタリア、オランダ、ノルウェー、スペイン、スウェーデン、イ スラエルが加わり、現在(2001年6月)14か国が相互承認を締結。 セキュリティ評価基準がISO/IEC 15408 として国際規格化(99年12月)。 内容的に米英仏独加蘭の6カ国が策定を進めてきた「コモン・クライテリア」と同一。 評価手法統一の取り組みも進行。 ・ISO/IEC15408を国内JIS化(2000年7月、JIS X 5070) ・政府調達の際に本スキームを原則活用することを合意(2001年3月) ・我が国において評価、認証スキームを設立(2001年4月) Office of IT Security Policy, METI 10 本制度活用のねらい これまで 調達者が考え得る範囲で、セキュリティ 対策についてベンダーに発注。 ・脅威の調査 ・パスワード管理 ・監視体制 ・暗号化 ・ログ管理 等 ・総合的な視点から対策を立てられず ・対策に漏れが生じる可能性 ・調達の都度0から対策を考えてベンダに要請することが必 要 ・客観的にその対策が妥当かを確認する手段がない セキュリティ対策に不安 これから これまでの調達に、ISO/IEC15408の考え 方を導入することにより、適切なセキュリ ティレベルを満たした製品/システムの 調達が効率的に実施可能。 追加的に 必要なPP 参考とするPP(セキュリティ要求仕様書。 セキュリティ対策等に関するカタログ) ・ベンダーにISO/IEC15408を満たすSTを作成させたり、 ISO/IEC15408認証済み製品を調達。 ・必要に応じて、参考となるPPを提示、追加的に必要なP Pを提示することで、当該製品/システムに特化して必 要なセキュリティ対策項目を追加 ・0から対策を検討する必要はない ・第三者機関により、セキュリティ対策の妥当性を評価 国際標準に準拠した信頼性の 高いセキュリティ水準を確保 ST(セキュリティ設計仕様書。ベンダーが作成する製品/システム毎の設計書) Office of IT Security Policy, METI 11 本制度が対象とするもの(例) オペレーティングシステム データベース管理システム ファイアウォール、アクセス制御機器 ICカード、リーダー等のハードウエア 通信ソフトウエア 情報システム 等 電子政府を構築する上で必要なIT関連製品・システ ム、または、それらのシステムを構成することに資す るセキュリティ製品、部品等が対象 Office of IT Security Policy, METI 12 制度の概要 ISO/IEC15408(JIS X 5070) セキュリティ評価基準(用語の定義) 脅威分析 セキュリティ対策方針 セキュリティ要件 機能仕様/品質対策 プロテクション・プロファイル(PP) (誰でも開発可) 登録 ファイアウォール データベース メーラー 等毎に作成 セキュリティ機能要件 (どのような機能を具えるか) 個別製品の設計仕様書(ST) 監査、暗号、通信、利用者デー タ保護、識別/認証、セキュリ ティ管理、プライバシー、信頼 通信路 等 CCに基づいた 製品のセキュリティ 設計書 製品開発 評 価 / 認 証 セキュリティ保証要件 (どの程度の品質チェックをするか) 構成管理、配布と運用、開発、 ガイダンス文書、ライフサイク ル、保証維持等、評価保証レベ ルをEAL1~EAL7で規定 開発者 Office of IT Security Policy, METI 13 スキーム 経済産業省 セキュリティ評価認証の具体的事業を製品評価技術基盤機構に委託 独立した認証プログラム 独立行政法人製品評価技術基盤機構 ・評価結果の認証 ・評価機関の承認、技術指導及び監督 ・評価・認証ルール、制度の維持 技術指導 ・ 監督 審査、認定 独立した 認定プログラム 評価報告書 認証書 個別製品 毎に認証 認証申請 メーカ・ベンダ 民間評価機関 ・メーカ、ベンダ、ユーザから依頼さ れた製品やシステムのセキュリ ティ評価試験を実施 ISO/IEC Guide 65 評価報告書 評価依頼 ・製品の評価・認証依頼 (製品、製品情報、資料類 の提出) ・製品のセキュリティ品質 向上。作り込み。 ISO/IEC 17025 Office of IT Security Policy, METI 14 運用のスケジュール 15 これまでの取組み 1991 1996 1999 1998 2000 2001 ISO/IEC JTC1 SC 27 WG3 における検討への対応 Stage1 セキュリティ機能要件の検討 (JEIDA) セキュリティ評価技術の研究 (JEIDA) Stage2 IPAにコモン・クライテ リア・タスク・フォース (CCTF)を設置 (1998年5月) セキュリティ評価技術の開発 ・セキュリティ要件解説書 ・ ST作成/脆弱性分析/評価用各ガイド ・ 支援ツール ISO/IEC 15408のJIS化(2000年7月) セキュリティ評価・認証制度に関する調査(IPA) Stage3 評価技術者研修、IPAの開発事業製品の評価検収 Stage4 評価・認証スキームの運用開始(2001年4月) Office of IT Security Policy, METI 16 当面のスケジュール 2001.4 2001.8 2002.2 2003 評価機関認定申請受付 制度発足 認定プログラム 認証プログラム立ち上げ 評価機関発足(認定された評価機関の発足) ST評価・確認業務の開始 本格的な運用開始への準備、運用開始 国際的な相互承認スキームへの参加準備、参加 Office of IT Security Policy, METI 17 ST評価・確認業務の活用 18 ST評価・確認 認証済み製品の数が少ないため、認証製品を調達するこ とを条件とした場合、入札できない場合が存在。 しかし、電子政府構築のためのセキュリティ基盤の確保は 必須であり、本制度の速やかな導入が急務。 製品・システムのセキュリティ機能の基本設計方針である STを評価することによって、設計思想レベルでのセキュリ ティチェックは十分に可能であり、かつ早期に実施が可能。 セキュリティ評価の考え方を導入することが第一であり、 段階的な導入が適当。 ST評価・確認業務の実施 Office of IT Security Policy, METI 19 ISO/IEC15408活用イメージ 認証された個別製品を導入する場合 システムとして評価・認証している場合 サーバ ソフトウエア サーバ ソフトウエア FW FW 端末 ソフトウエア ISO/IEC15408認証済みの個別製品を活用すること によって、キーとなる製品のセキュリティを確保。 ISO/IEC/15408評価・認証取得 端末 ソフトウエア システム全体としてISO/IEC15408の評価・認証(又 はST評価・確認)を取得し、設定や利用環境も含め たセキュリティを確保(個別製品が認証済みかどう かは不問)。 ※STの範囲については、重要度に応じて決定(FW周辺部 分、サーバー類、またはシステム全体) ただし、システムの評価・認証は技術的に困難な部分 もあり、検討が必要。 Office of IT Security Policy, METI 20 評価・確認の流れ(認証の場合と比較) 評価・認証 ST評価・確認 製品、システムの設計、適用PPの調査 STの作成は受注ベンダー 等で行う。 STの作成 開発 評価機関への依頼、 認証プログラムへの通知 STの評価 開発 TOE評価 完成 ・認証プログラムによる評 価活動のモニタリング ・評価報告書を認証プロ グラムに提出 認証 開発…ベンダー等 STの評価…評価機関 (設計書レベルでの評価) TOE評価…評価機関 (設計書及び実製品の評価) TOE=評価対象 完成 ※ST評価・確認では、実シ ステム等の評価は行わない。 STの確認 評価機関 製品化、納品 Office of IT Security Policy, METI 認証プログラム 21 調達の条件(4段階) 1 STの作成 2 STの評価(評価機関) 3 STの合格(評価機関) 4 STの確認(認証プログラム) Office of IT Security Policy, METI STの作成のみを調達の 条件とする場合 STの評価を条件とする 場合(合格かどうかは不 問) STの評価及びその合格 を条件とする場合 STの評価、合格及び確 認を条件とする場合 22 今後の展開 評価技術、ツール等の技術開発の推進 効果的な評価技術、ツール等の開発 システムの評価技術 等 人材育成 評価技術者等の育成プログラムへの助成 普及啓発活動 国際アレンジメント(CCRA)への参加 調査、関係機関との調整 等 Office of IT Security Policy, METI 23 More info… http://www.meti.go.jp/policy/netsecurity/ 経済産業省 商務情報政策局 情報セキュリティ政策室 田辺 雄史(TANABE Takefumi) [email protected] Tel : 03-3501-0397 Fax: 03-3501-6639 Office of IT Security Policy, METI 24
© Copyright 2024 ExpyDoc
