我が国の政府機関における情報セキュリティ対策においてもISO/IEC 15408は活用されています。 かつては、それぞれの国の独自のセキュリティ基準に基づいた評価を実施していましたが、CCRA加盟国では、情報セキュリティ評価 の国際基準であるISO/IEC 15408(CC:Commom Criteria) に基づいて認証された結果を相互に有効なものとして承認してい ます。 ■安全な調達 2014年5月に改訂された「政府機関の情報セキュリティ対策のための統一基準」(内閣サイバーセキュリティセンター)では、政 府がIT製品を調達する場合には、「IT製品の調達におけるセキュリティ要件リスト」(経済産業省)を参照し、脅威分析をした上 で、情報セキュリティ上の脅威に対抗するセキュリティ要件を策定することを義務付けています。 *4 それらのセキュリティ要件の客観的な確認手段としてISO/IEC 15408による評価が活用されています。 1998年10月、カナダ、フランス、ドイツ、イギリス、アメリカの5ヵ国がコモンクライテリア(CC)に基づいた情報セキュリ ■対象となるIT製品 ティ評価・認証の相互承認に関する協定書に調印し、国際的な相互承認アレンジメントの枠組みがスタートしました。この相互承認 特に政府機関の情報システムの構成要素として適切なセキュリティ対策が必要である製品分野については、「IT製品の調達における アレンジメントにより、ある評価・認証制度を持つCCRA加盟国においてISO/IEC 15408 (CC)に基づいて評価・認証されたIT セキュリティ要件リスト」が公開され、調達者がセキュリティ要件を確認すべき製品分野とその要件が示されています。 製品は、他のCCRA加盟国においても認証の効力を持つことになります。その後多くの国が参加し、2016年3月現在で25ヵ国が参 調達者はこれらの製品分野のセキュリティ要件を確認し、その要件にあったISO/IEC 15408の認証製品を調達することで、安全な 加しています。日本も2003年10月に認証国としてCCRAに加盟しました。 製品調達が可能となります。 *5 対象製品分野 2016年3月現在 ISO/IEC 15408セキュリティ評価基準 (CC)に基づいて評 価・認証する制度を持つ17ヵ国及び認証結果を受入れる8ヵ 国のCCRA加盟国で認証製品を相互に認証するアレンジメント 製品分野定義 デジタル複合機 プリント機能を有し、さらに、スキャン、FAX、コピー機能のうちいずれか た2つ以上の機能を装備している製品 ファイアウォール インターネットと内部ネットワークの境界に配置され、パケットの内容と事 前に定義されたルールに基づきパケット通過を制御する製品 不正侵入検知/防止システム(IDS/IPS) ネットワークやシステムの稼動状況を監視し、組織内のコンピューターネッ トワークへの外部からの侵入を報告、防御する製品 サーバOS コンピュータのハードウェア制御・操作のために用いられる基本ソフトウェ ア データベース管理システム(DBMS) 共有データとしてのデータベースを管理し、データに対するアクセス要求に 応える製品 スマートカード(ICカード) プラスチック製カード等にICチップを埋め込み、情報を記録できるようにし た製品 対象候補 USBメモリ 製品分野定義 製品自体にUSBコネクタを備えており、別途USB接続ケーブル等を用いる 必要がない、フラッシュメモリを内蔵した持ち運び可能な記憶装置 https://www.ipa.go.jp/security/ 国際的なIT製品の政府調達セキュリティ要求仕様「cPP 」の開発 *6 2014年9月に発行されたCCRAでは、CCRA加盟国政府で用いる共通のIT製品の調達セキュリティ要求仕様をIT技術分野ごとに共同で開 https://www.ipa.go.jp/security/jisec/ 発することが宣言されました。この共通に用いるセキュリティ要求仕様はcPPと呼ばれ、cPPを各国政府が調達に用いることで、調達者は 調達要件開発の効率化や最新セキュリティ関連情報の反映が可能となり、製品ベンダーは個別の要求仕様に対応する必要がなくなります。 *4:Common Criteria Recognition Arrangement *5:Common Criteria は1999年に国際標準(ISO/IEC)として規格化されました。 *6:collaborative Protection Profile 2016年3月 (2016.03) セキュアな情報社会基盤構築のための ITセキュリティ評価及び認証制度(JISEC ) *1 我が国では2001年4月、IT製品のセキュリティ機能について国際的に合意された基準に基づいて評価・認証を行うための「ITセキュ リティ評価及び認証制度(JISEC)」が創設されました。この制度は、IT製品のセキュアな政府調達に活用されています。 評価機関は、国際試験所認定協力機構(ILAC*2)加盟の認定 機関によって認定された民間機関です。 ISO/IEC 15408に基づき、調 達者は調達対象製品のセキュリ ティ要求仕様を作成・提示し、 製品ベンダーはセキュリティ要 求仕様を満たすことをセキュリ ティ評価により保証する。 国際基準に適合した認証済み IT製品を使用することによる安心 本制度の対象とするIT製品 2016年3月現在 2016年3月現在 セキュリティ要件仕様 セキュリティ 要求仕様書 国際基準に 準拠した評価による セキュリティの確認。 セキュリティ 設計仕様書 機能仕様書 調達者の セキュリティ要件への 明確な対応。 モジュール 設計書 ソースコード セキュリティ機能を持つIT製品 ◆セキュリティ製品 ファイアウォール・PKI ◆ネットワーク製品 ルータ・スイッチ ◆業務製品 OS・DBMS モバイル端末 ◆IoT ネットワーク会議システム デジタル複合機 ネットワークカメラ 等 79件 86件 227件 75件 615件 607件 104件 266件 547件 498件 合計3,104製品 ※ウェブ公開情報による Brightsight *3 国際基準に基づく認証済み IT製品の市場への投入 スイッチ・ルーター *1:Japan Information Security Evaluation and Certification Scheme ネットワークカメラ *2:International Laboratory Accreditation Cooperation *3:ITSC: 一般社団法人ITセキュリティセンター 評価室、ECSEC: 株式会社ECSEC Laboratory 評価センター、MHIR: みずほ情報総研株式会社 情報セキュリティ評価室、TÜV informationstechnik GmbH Evaluation Body for IT-Security, Brightsight bv セキュアな情報社会基盤構築のための ITセキュリティ評価及び認証制度(JISEC ) *1 我が国では2001年4月、IT製品のセキュリティ機能について国際的に合意された基準に基づいて評価・認証を行うための「ITセキュ リティ評価及び認証制度(JISEC)」が創設されました。この制度は、IT製品のセキュアな政府調達に活用されています。 評価機関は、国際試験所認定協力機構(ILAC*2)加盟の認定 機関によって認定された民間機関です。 ISO/IEC 15408に基づき、調 達者は調達対象製品のセキュリ ティ要求仕様を作成・提示し、 製品ベンダーはセキュリティ要 求仕様を満たすことをセキュリ ティ評価により保証する。 国際基準に適合した認証済み IT製品を使用することによる安心 本制度の対象とするIT製品 2016年3月現在 2016年3月現在 セキュリティ要件仕様 セキュリティ 要求仕様書 国際基準に 準拠した評価による セキュリティの確認。 セキュリティ 設計仕様書 機能仕様書 調達者の セキュリティ要件への 明確な対応。 モジュール 設計書 ソースコード セキュリティ機能を持つIT製品 ◆セキュリティ製品 ファイアウォール・PKI ◆ネットワーク製品 ルータ・スイッチ ◆業務製品 OS・DBMS モバイル端末 ◆IoT ネットワーク会議システム デジタル複合機 ネットワークカメラ 等 79件 86件 227件 75件 615件 607件 104件 266件 547件 498件 合計3,104製品 ※ウェブ公開情報による Brightsight *3 国際基準に基づく認証済み IT製品の市場への投入 スイッチ・ルーター *1:Japan Information Security Evaluation and Certification Scheme ネットワークカメラ *2:International Laboratory Accreditation Cooperation *3:ITSC: 一般社団法人ITセキュリティセンター 評価室、ECSEC: 株式会社ECSEC Laboratory 評価センター、MHIR: みずほ情報総研株式会社 情報セキュリティ評価室、TÜV informationstechnik GmbH Evaluation Body for IT-Security, Brightsight bv 我が国の政府機関における情報セキュリティ対策においてもISO/IEC 15408は活用されています。 かつては、それぞれの国の独自のセキュリティ基準に基づいた評価を実施していましたが、CCRA加盟国では、情報セキュリティ評価 の国際基準であるISO/IEC 15408(CC:Commom Criteria) に基づいて認証された結果を相互に有効なものとして承認してい ます。 ■安全な調達 2014年5月に改訂された「政府機関の情報セキュリティ対策のための統一基準」(内閣サイバーセキュリティセンター)では、政 府がIT製品を調達する場合には、「IT製品の調達におけるセキュリティ要件リスト」(経済産業省)を参照し、脅威分析をした上 で、情報セキュリティ上の脅威に対抗するセキュリティ要件を策定することを義務付けています。 *4 それらのセキュリティ要件の客観的な確認手段としてISO/IEC 15408による評価が活用されています。 1998年10月、カナダ、フランス、ドイツ、イギリス、アメリカの5ヵ国がコモンクライテリア(CC)に基づいた情報セキュリ ■対象となるIT製品 ティ評価・認証の相互承認に関する協定書に調印し、国際的な相互承認アレンジメントの枠組みがスタートしました。この相互承認 特に政府機関の情報システムの構成要素として適切なセキュリティ対策が必要である製品分野については、「IT製品の調達における アレンジメントにより、ある評価・認証制度を持つCCRA加盟国においてISO/IEC 15408 (CC)に基づいて評価・認証されたIT セキュリティ要件リスト」が公開され、調達者がセキュリティ要件を確認すべき製品分野とその要件が示されています。 製品は、他のCCRA加盟国においても認証の効力を持つことになります。その後多くの国が参加し、2016年3月現在で25ヵ国が参 調達者はこれらの製品分野のセキュリティ要件を確認し、その要件にあったISO/IEC 15408の認証製品を調達することで、安全な 加しています。日本も2003年10月に認証国としてCCRAに加盟しました。 製品調達が可能となります。 *5 対象製品分野 2016年3月現在 ISO/IEC 15408セキュリティ評価基準 (CC)に基づいて評 価・認証する制度を持つ17ヵ国及び認証結果を受入れる8ヵ 国のCCRA加盟国で認証製品を相互に認証するアレンジメント 製品分野定義 デジタル複合機 プリント機能を有し、さらに、スキャン、FAX、コピー機能のうちいずれか た2つ以上の機能を装備している製品 ファイアウォール インターネットと内部ネットワークの境界に配置され、パケットの内容と事 前に定義されたルールに基づきパケット通過を制御する製品 不正侵入検知/防止システム(IDS/IPS) ネットワークやシステムの稼動状況を監視し、組織内のコンピューターネッ トワークへの外部からの侵入を報告、防御する製品 サーバOS コンピュータのハードウェア制御・操作のために用いられる基本ソフトウェ ア データベース管理システム(DBMS) 共有データとしてのデータベースを管理し、データに対するアクセス要求に 応える製品 スマートカード(ICカード) プラスチック製カード等にICチップを埋め込み、情報を記録できるようにし た製品 対象候補 USBメモリ 製品分野定義 製品自体にUSBコネクタを備えており、別途USB接続ケーブル等を用いる 必要がない、フラッシュメモリを内蔵した持ち運び可能な記憶装置 https://www.ipa.go.jp/security/ 国際的なIT製品の政府調達セキュリティ要求仕様「cPP 」の開発 *6 2014年9月に発行されたCCRAでは、CCRA加盟国政府で用いる共通のIT製品の調達セキュリティ要求仕様をIT技術分野ごとに共同で開 https://www.ipa.go.jp/security/jisec/ 発することが宣言されました。この共通に用いるセキュリティ要求仕様はcPPと呼ばれ、cPPを各国政府が調達に用いることで、調達者は 調達要件開発の効率化や最新セキュリティ関連情報の反映が可能となり、製品ベンダーは個別の要求仕様に対応する必要がなくなります。 *4:Common Criteria Recognition Arrangement *5:Common Criteria は1999年に国際標準(ISO/IEC)として規格化されました。 *6:collaborative Protection Profile 2016年3月 (2016.03) 我が国の政府機関における情報セキュリティ対策においてもISO/IEC 15408は活用されています。 かつては、それぞれの国の独自のセキュリティ基準に基づいた評価を実施していましたが、CCRA加盟国では、情報セキュリティ評価 の国際基準であるISO/IEC 15408(CC:Commom Criteria) に基づいて認証された結果を相互に有効なものとして承認してい ます。 ■安全な調達 2014年5月に改訂された「政府機関の情報セキュリティ対策のための統一基準」(内閣サイバーセキュリティセンター)では、政 府がIT製品を調達する場合には、「IT製品の調達におけるセキュリティ要件リスト」(経済産業省)を参照し、脅威分析をした上 で、情報セキュリティ上の脅威に対抗するセキュリティ要件を策定することを義務付けています。 *4 それらのセキュリティ要件の客観的な確認手段としてISO/IEC 15408による評価が活用されています。 1998年10月、カナダ、フランス、ドイツ、イギリス、アメリカの5ヵ国がコモンクライテリア(CC)に基づいた情報セキュリ ■対象となるIT製品 ティ評価・認証の相互承認に関する協定書に調印し、国際的な相互承認アレンジメントの枠組みがスタートしました。この相互承認 特に政府機関の情報システムの構成要素として適切なセキュリティ対策が必要である製品分野については、「IT製品の調達における アレンジメントにより、ある評価・認証制度を持つCCRA加盟国においてISO/IEC 15408 (CC)に基づいて評価・認証されたIT セキュリティ要件リスト」が公開され、調達者がセキュリティ要件を確認すべき製品分野とその要件が示されています。 製品は、他のCCRA加盟国においても認証の効力を持つことになります。その後多くの国が参加し、2016年3月現在で25ヵ国が参 調達者はこれらの製品分野のセキュリティ要件を確認し、その要件にあったISO/IEC 15408の認証製品を調達することで、安全な 加しています。日本も2003年10月に認証国としてCCRAに加盟しました。 製品調達が可能となります。 *5 対象製品分野 2016年3月現在 ISO/IEC 15408セキュリティ評価基準 (CC)に基づいて評 価・認証する制度を持つ17ヵ国及び認証結果を受入れる8ヵ 国のCCRA加盟国で認証製品を相互に認証するアレンジメント 製品分野定義 デジタル複合機 プリント機能を有し、さらに、スキャン、FAX、コピー機能のうちいずれか た2つ以上の機能を装備している製品 ファイアウォール インターネットと内部ネットワークの境界に配置され、パケットの内容と事 前に定義されたルールに基づきパケット通過を制御する製品 不正侵入検知/防止システム(IDS/IPS) ネットワークやシステムの稼動状況を監視し、組織内のコンピューターネッ トワークへの外部からの侵入を報告、防御する製品 サーバOS コンピュータのハードウェア制御・操作のために用いられる基本ソフトウェ ア データベース管理システム(DBMS) 共有データとしてのデータベースを管理し、データに対するアクセス要求に 応える製品 スマートカード(ICカード) プラスチック製カード等にICチップを埋め込み、情報を記録できるようにし た製品 対象候補 USBメモリ 製品分野定義 製品自体にUSBコネクタを備えており、別途USB接続ケーブル等を用いる 必要がない、フラッシュメモリを内蔵した持ち運び可能な記憶装置 https://www.ipa.go.jp/security/ 国際的なIT製品の政府調達セキュリティ要求仕様「cPP 」の開発 *6 2014年9月に発行されたCCRAでは、CCRA加盟国政府で用いる共通のIT製品の調達セキュリティ要求仕様をIT技術分野ごとに共同で開 https://www.ipa.go.jp/security/jisec/ 発することが宣言されました。この共通に用いるセキュリティ要求仕様はcPPと呼ばれ、cPPを各国政府が調達に用いることで、調達者は 調達要件開発の効率化や最新セキュリティ関連情報の反映が可能となり、製品ベンダーは個別の要求仕様に対応する必要がなくなります。 *4:Common Criteria Recognition Arrangement *5:Common Criteria は1999年に国際標準(ISO/IEC)として規格化されました。 *6:collaborative Protection Profile 2016年3月 (2016.03)
© Copyright 2024 ExpyDoc
