2000年8月16日

Entrust/PKI、唯一の JIS 規格準拠 PKI 製品へ


2000年7月、日本工業標準調査会は、IT セキュリティ製品に対するセキュリティ評価基準として Common Criteria (CC) を採用し、JIS X5070 として規格化しました。CC 適合製品である Entrust/PKI は、JIS X5070 準拠製品になります。
CC は、各国ごとに独自に制定されたセキュリティ製品評価基準を、国際的に統一したセキュリティ評価基準です。1993年6月、CC プロジェクトは、セキュリティ評価基準を統一し ISO 標準化を目指し、カナダ、フランス、ドイツ、オランダ、イギリス、アメリカ 6ヶ国で結成されました。1999年6月、CC は ISO/IEC 15408 国際規格として承認されました。


セキュリティ評価基準の制度が立ち遅れていた日本において、CC が JIS 規格になったことは大きな意味を持ちます。評価基準が制定されることによって、セキュリティ製品やシステムが持つ潜在的な価値、これらを導入した際に果たす機能や役割、効果を定量的に把握することができます。その結果、セキュリティ確保のために投資すべきコストの正当性を客観的に確認することができることになります。


通産省による情報システム安全対策基準では、システムのセキュリティを確保するために「将来、情報技術製品に対する国際的なセキュリティ評価基準が定められ、それに基づく認定制度が確立されたときは、自社のセキュリティレベルに合致する情報技術製品を導入する。」ことを規定しています。同様に諸外国においても、組織で定めたセキュリティ ポリシーに合致するレベルのセキュリティ評価認証済み製品を使ってシステムを構築することを強く勧めています。


したがって今後、日本国内で電子認証システムを構築する場合、CC に適合している製品を使用するよう条件付けられることが予想されます。現在、CC に適合している PKI 製品は世界で唯一、Entrust/PKI だけです。


Common Criteria とは

Common Criteria (CC) は、多くの IT セキュリティ評価基準を統合して制定されたもので、1999年6月、ISO/IEC 15408 国際規格として承認されました。CCは、欧州の ITSEC、米国の TCSEC (通称 オレンジブック)、そしてカナダの CTCPEC を包含しています。CC によって、独立したセキュリティ評価結果を比較することが可能になります。このような共通の基準 (common criteria) を制定することで、複数の IT セキュリティ評価結果を多くの利用者にとって、より利用価値のあるものにすることができます。このために CC では、異なる国で実施されている IT セキュリティ評価に対して共通のセキュリティ機能要件、保証要件を提供し、各国で使用される評価基準レベルを規定し、点検し、維持する役割を担っています。  

世界で広く公認されている Common Criteria

CC の重要な目標に、セキュリティ評価結果の国際的な相互承認を可能にすることがあります。以下の国は、公式に相互承認協定(Mutual Recognition Arrangement – MRA) に調印しています;アメリカ、イギリス、カナダ、ドイツ、フランス、オーストラリア、ニュージーランド。MRAは、異なる管轄区において評価され CC に認定されたIT 製品を、再度評価する労力を省きます。相互承認協定国において評価・承認された結果は、他のMRA 協定国によっても受け入れられます。

日本もこの MRA に調印する予定です。新規参加に際しては、協定国の審査を受け、同等の制度を実施していることを証明しなければなりません。JISX5070 規格化によって、これが可能になります。
日本がMRA に調印すれば、日本における公式のセキュリティ評価基準にEntrust 製品が適合することになり、しかも現時点でこれに適合するPKI 製品は、唯一 Entrust/PKI だけです。


Common Criteria 関連 Web リンク

CC に関する情報は、次のウェブサイトをご参照ください。

情報処理振興事業協会
NIST (National Institute of Standards and Technology)

Entrust 製品の CC 認定に関する情報は、次のウェブサイトをご参照ください。
Entrust Technologies http://www.entrust.com/resourcecenter/validation_faq.htm


ページの先頭へ