1.ITセキュリティ評価及び認証制度（JISEC）とは？

ITセキュリティ評価及び認証制度は、Japan Information Technology Security Evaluation and Certification Schemeということから「JISEC」と略されます。JISECとは、ITに関連する商品のセキュリティ機能が適切でなおかつ確実であるかどうかを評価し、その評価結果について認証機関が認証をする制度です。これは日本国内の制度で、政府や政府関係機関が物資またはサービスを購入するときに利用されます。JISECの評価は確実になおかつきちんとする必要があるため、評価を行う評価機関は認定機関に認められた事業者のみです。評価機関は、評価依頼を受けたときに評価を実施し、評価する製品またはシステムのセキュリティが適切で正確かどうかを評価します。

JISECで評価するときに基づく基準は、ISO/IEC 15408という国際基準です。JISECは国際基準によって評価されるので、JISECで評価認証された商品であれば、加盟している国でもセキュリティに関して安全して利用できるいうことになります。JISECにより、第三者の目線からセキュリティ機能を持つ製品またはシステムを評価し認証することが可能となり、セキュリティ面に関して安心できる製品を選択することが可能となりました。また、JISECには評価レベルがどのくらいなのかが分かるようになっているので、必要なセキュリティレベルの製品を探し出すことも容易です。

評価結果の認証を行うのは、経済産業省から委託されている独立行政法人情報処理推進機構（IPA）です。IPAは、日本でITに従事する人材を支えるために設立された独立行政法人で、JISECの認証のほか、ソフトウェア開発支援や、ITに関する資格の運営なども行っています。

2.認証されるまでの流れ

ITセキュリティ評価及び認証制度（JISEC）が認証されるまでは、製品の要求仕様を提出する、申請者が評価依頼を出す、申請者が認証機関（IPA）に認証申請する、評価機関が評価をする、評価機関が評価結果をIPAへ報告、IPAが認証するという流れになります。まず最初に行われるのは、政府や政府関係機関、地方自治体などが購入するセキュリティ機能がある製品の要求仕様の提示です。要求仕様を提示された申請者、もしくはその製品を販売する会社は、JISECの評価ができる評価機関をどこにするか選択し、その評価機関に評価依頼を提出します。それと同時に行われるのが、認証機関（IPA）へ認証申請をすることです。

認証は評価後に行われますが、認証申請は評価依頼と同時に行われます。評価機関が評価するのは、依頼された製品の開発資料やどのように流通されたかなど、セキュリティに関する項目です。評価結果は、評価機関により認証機関（IPA）に報告書が提出されます。報告書を受け取ったIPAは、正しく評価が行われているのか確認ができたら、認証書を発行します。このように、JISECは評価機関と認証機関による二重チェックが行われていて、その製品がセキュリティに関して安全だということを確実に判断することが可能です。セキュリティ機能を持つ製品は、セキュリティ面で問題があってはなりません。そのため、このように慎重な評価や認証がされるようになっています。

3.セキュリティ評価基準の(ISO/IEC 15408)とは？

ITセキュリティ評価及び認証制度（JISEC）の評価基準は、ISO/IEC 15408に基づいています。ISO/IEC 15408とは、ハードおよびソフトウェアのセキュリティ製品や、システムの開発、運用を評価するための基準です。ちなみに、CC（Common Criteria）とは、同じものとしてとらえてもかまいませんが、いつ発行されたかや、どのバージョンなのかは必ず一致するわけではありませんので、注意してください。CC（Common Criteria）とは、ITに関連する製品またはシステムがセキュリティに関して適切であるか、実装は正しいものなのかどうかを判断するために開発された国際標準規格です。

CCは1990年代に開発されました。1980年代には、セキュリティ機能に関する評価は行われていましたが、それは欧米諸国がそれぞれの自国内だけ行っていました。つまり、評価基準は国それぞれある状態で、国際的に共通する評価基準はない状態です。ところが、1990年代にさしかかると、自国外の市場からIT製品を調達するために、国際的なセキュリティの評価基準を作成しようとするプロジェクトが発足しました。自国内だけの基準では、他国からセキュリティに関する製品を購入したときに、自国でさらに認証し直さなければならない手間が発生したからです。

プロジェクトは、セキュリティ評価基準を先行して作成した国々によって行われ、そこでCCは開発されることになりました。1999年には、CCはISO標準 (ISO/IEC 15408) に、2000年にはJIS標準 (JIS X 5070) として採用されています。CCを利用して正しく評価をするためのものとして、CEM （Common Evaluation Methodology ）という共通評価方法もCCと同時に開発されました。なぜなら、CCを基準とした評価は国際基準であり、どの制度のもとで評価されても、どの評価機関が評価をしても、評価結果に違いがあってはいけないからです。CEMもISO/IEC 15408として発行なされました。CCもCEMも時代の流れに応じて、更新され続けています。CCやCEMの企画は常にチェックしておく必要があります。

4.CCの評価対象と範囲

CCが対象とするのは、セキュリティ機能を有するIT製品およびシステムです。対象のIT製品はソフトウェアだけにはとどまらず、ハードウェアやファームウェアも含まれます。直接的ではなく間接的にセキュリティに関わる製品も対象で、OSやデータベース、グループウェアなども対象です。つまりは、守らなければならない情報や資源を持っている製品すべてがCCの対象となり、かなり幅広い製品がそれに該当します。ただし、CCはあくまで製品やシステムが対象なので、対象の製品やシステムを利用する人に対して行うセキュリティ教育や監査をどうしているのかは対象外です。つまりは、セキュリティに関するアドバイスをしたとしても、それは評価の対象にはなりません。

CCは対象のIT製品およびシステムがどのように実装されているのか、開発のプロセスはどのようなものなのか、を見て評価します。具体的に説明しますと、セキュリティを脅かす脅威に対する機能は備わっているのか、セキュリティに関する機能がきちんと実装されているのか、といったことが評価の範囲内です。また、配布するときにセキュリティに問題は起きる可能性が0であること、利用者に対してセキュリティを保つために必要なことを説明してあるかどうか、といったことについても評価されます。

5.評価認証制度とCCの意義

評価認証制度とCCは国際的な基準なので、各国共通です。そのため、自国の評価機関や認証機関によってセキュリティに問題がないと認められた製品やシステムは、協定に参加している国であれば、その国でも認証されることになります。調達する側にとっても、他国の製品を国内調達しやすくなるというメリットがあり、そこにも評価認証制度とCCの意義はあるでしょう。また、評価認証制度とCCは、どの程度まで評価を行うのかによって保証レベルというものも制定されています。なぜ保証レベルが設定されているのかというと、どの製品に対しても完璧な基準で評価をしていると、時間もコストも大幅にかかるからです。

そのため、評価機関はその製品やシステムが、必要とする保証レベルに達成しているのかどうかを評価しています。つまり、調達者はその製品がどの保証レベルであるのかどうかも知ることが可能です。そのため、必要とする製品およびシステムに対して、最低限必要な保証レベルがあるものを選択することができるようになり、調達者にとってコスト削減につながります。どの程度の保証レベルのものが必要なのかを判断するためには、その製品およびシステムを利用する環境や、保護すべき情報は何なのかによって判断しましょう。このように、セキュリティに関してオーバースペックである製品を購入しないで済むという点も、評価認証制度とCCの意義といえます。

6.国際承認アレンジメント(CCRA)とは？

国際承認アレンジメント(CCRA)とは、Common Criteria Recognition Arrangementの略称で、国際的な協約です。国内でISO/IEC 15408の評価基準で認証された製品およびシステムは、CCRAに加盟している国でも認証されたことになります。ちなみに、日本は2003年10月にCCRAに加盟しました。CCRAは2000年5月に改訂され、国内に制度がない国も加盟できるようになりました。つまり、自国内にセキュリティに関する評価および認証に関する制度がなくても、他の加盟国で認証された製品を認証された製品として受入可能となったのです。

CCRAの加盟国は認証国18カ国、受入国12カ国あります。つまりは、日本国内でITセキュリティ評価及び認証制度（JISEC）により評価された製品またはシステムは、CCRA加盟国合計30か国でも認証されたと同義です。逆に、日本国外のCCRA加盟国で認証された製品でも、日本国内の基準を満たしていると考えられます。CCRAの加盟には、異なる制度や消費者によって評価基準を変更しなくても済むようになるというメリットがあります。CCRAにおけるお互いを承認する範囲は、調達業務であるcPPであればEAL4、それ以外はEAL2より下です。

EAL4とは、既にある製品開発にエンジニアリングコストを追加したもので、中～高レベルのセキュリティを必要とするものに適用される基準です。EAL2は、低～中くらいの保証レベルで、最低限必要なセキュリティに加えて開発者によるテストや脆弱性分析、評価者が行うテストによって保証されます。

7.認証を申請する前に知っておきたいこと

JISECの認証を申請する前に、JISECのセキュリティ評価の対象とはなにか、評価の範囲はどこまでなのか、評価基準はどのようなものなのか、の3点については理解しておいたほうがいいでしょう。JISECの対象とは、セキュリティ機能があるIT製品およびシステムです。経済産業省の資料によると、JISECの対象となる分野は、デジタル複合機、ファイアウォール、不正侵入検知・防止システム、OS、データベース管理システム、IC機能を持つスマートカード、暗号化USBメモリ、ルータ・レイヤ3スイッチ、ドライブ全体暗号化システム、モバイル端末管理システム、仮想プライベートネットワークゲートウェイが対象となっています。

評価対象はこのようにさまざまですが、依頼する評価機関によっては対応していな分野もあることにも注意が必要です。評価してもらいたい製品およびシステムが、評価の対象内である評価機関に依頼するように、事前に評価機関に問い合わせたほうがいいでしょう。JISECの評価は、製品自体のセキュリティ性だけを評価するのではありません。設計資料やどのような環境で開発されたのか、その製品のマニュアルも評価の範囲内です。どのくらい詳しくみるのかは、依頼する保証レベルによって変わります。保証レベルが高いほどセキュリティ性が優れているということになりますが、その分コストもかさむことには注意が必要です。

その製品やシステムがどの程度の保証レベルなのかを判断し、必要以上の保証レベルで評価依頼をしないようにしましょう。

8.暗号モジュール試験及び認証制度 (JCMVP)とは？

暗号モジュール試験及び認証制度とは、Japan Cryptographic Module Validation Programのことで、JCMVPと略されます。JCMVPとは、セキュリティ機能がある製品やシステムから構成されている暗号モジュールに、十分なセキュリティ性があるかどうか正確で詳細な情報を得るための国内制度です。この制度により、暗号モジュールが正しく実装され、正しく実行され、保護すべき情報がきちんと守られているのかを保証することができます。JCMVPが対象となるものは、スマートカード、USBトークン、PCIカード、ルーター、ソフトウェア暗号ライブラリ、ファイル暗号化ソフトウェアです。

JCMVPは国内の制度ですので、他国との互換性はありません。しかし、JCMVPは米国やカナダで制定されているのCMVP(Cryptographic Module Validation Program)と同じ内容の制度なので、JCMVPとCMVPで共同認証できるのではないかという流れにもなっています。

9.開発者ほど情報セキュリティ認証への理解を！

ITセキュリティ評価及び認証制度（JISEC）やそのなかで利用される基準であるCCは、IT製品およびシステムがセキュリティに問題がないことを判断するためのものです。そのため、JISECやCCの内容を考慮すれば、セキュリティ機能に関して安全な製品やシステムを開発することができます。セキュリティに関する問題は重大であり、セキュリティ面で完璧ではない製品やシステムを流通させてしまうと、会社の信用問題や存続問題にまで発展することになりかねません。製品やシステムの開発者は、とくにJISECやCCの理解を深めることをおすすめします。