富士ゼロックス 情報セキュリティ報告書 · 2019-10-16 · お客様への安全のご提案 7 社内の情報セキュリティ 11 第三者評価・認証 18 基本情報
IT セキュリティ評価及び認証制度の活用について
description
Transcript of IT セキュリティ評価及び認証制度の活用について
1
IT セキュリティ評価及び認証制度の活用について
平成13年9月経済産業省 商務情報政策局
情報セキュリティ政策室田辺 雄史
Office of I T Security Policy, METI 2
本日の内容本日の内容
基本的な考え方政府における本制度の位置づけ政府調達における本制度の利用方針ITセキュリティ評価及び認証制度の概要
運用のスケジュールST 評価・確認業務の活用今後の展開
Office of I T Security Policy, METI 3
基本的な考え方基本的な考え方
セキュアな電子政府構築のためには、情報セキュリティ基盤の確保が必要不可欠
政府調達において、客観的な評価を受けた信頼できる IT 製品・システムを導入することが重要
国際的な信頼性の確保、市場競争力確保の観点から、国際的なアレンジメントの参加を目指す( 2003 年度を目途 )
4
政府における本制度の位置づけ
Office of I T Security Policy, METI 5
政府の動き政府の動き
平成11年12月19日 【共通基盤技術開発】ウイルス対策、不正アクセス対策、暗号技術等の技術開発に取り組むとともに、セキュリティ評価体系を構築(通産省)
平成12年1月21日 情報セキュリティ関係省庁局長等会議決定1 政府部内における取組の強化 (1) セキュリティに関する信頼性の高い政府システムの構築 → 各省庁の調達におけるセキュリティ水準の高い製品等の利用方針 → 技術開発 (2) 監視・緊急対処体制の整備・強化 (3) 総合的・体系的な情報セキュリティ対策の検討2 民間等における取組の推進 国以外の者(民間等)への情報提供、民間重要インフラ等に係る取組の推進3 国際的連携の強化
ミレニアム・プロジェクト
ハッカー対策等の基盤整備に係る行動計画
平成12年 7月 18日 「情報セキュリティポリシーに関するガイドライン」の策定平成12年 12月 15日 「重要インフラのサイバーテロ対策に係る特別行動計画」の策定
IT戦略本部(情報セキュリティ対策推進会議、情報セキュリティ部会)
Office of I T Security Policy, METI 6
e-Japan重点計画(METI関連)
e-Japan重点計画(METI関連)
6.高度情報通信ネットワークの安全性及び信頼性の確保 ○暗号技術の標準化の推進 ○情報セキュリティマネジメント規格の確立 ○情報セキュリティ技術評価・認証事業の実施 2001 年度中に、情報機器等の情報セキュリティ関連国際規格( ISO/IEC15408)に基づいた評価・認証事業を開始するとともに、 2003年度までに、政府レベルでの認証に係る国際相互承認スキームへの参加を目指す。
○不正アクセス対策・ウイルス対策等に関する情報提供体制の強化
○情報セキュリティに関する基盤技術の研究開発の推進
○情報セキュリティに関する資格制度の整備 ○ハイテク犯罪対策の係る国際連携の強化 ○情報セキュリティに関するグローバル情報交換ネットワークの構築
平成 13年 3月 29日 IT戦略本部
Office of I T Security Policy, METI 7
e-Japan2002プログラムe-Japan2002プログラム
5.高度情報通信ネットワークの安全性及び信頼性の確保(1)信頼性の高い「電子政府の構築」(2)サイバーテロ対策の強化(3)情報セキュリティの意識の向上(4)民間部門における情報セキュリティ対策への支援
(5)情報セキュリティに係る基盤技術の開発 暗号技術、情報セキュリティ評価技術等の基盤技術の開発を行うほか、国防・治安関連技術について支障のない範囲内で政府他部門・民間にも公開する。
平成 13年 6月 26日 IT戦略本部
Office of I T Security Policy, METI 8
政府利用方針(ポイント)政府利用方針(ポイント)
各省庁は、セキュリティに関する信頼度の高い情報システムの構築を図る観点から、今後の情報システムの構築に当たっては、可能な限り、次のような方法等により、 ISO/IEC15408 に基づいて評価又は認証された製品等の利用を推進するものとする。
各省庁は、セキュリティに関する信頼度の高い情報システムの構築を図る観点から、今後の情報システムの構築に当たっては、可能な限り、次のような方法等により、 ISO/IEC15408 に基づいて評価又は認証された製品等の利用を推進するものとする。
•調達仕様書において、セキュリティ機能の全部又は一部が ISO/IEC15408 に基づいて評価 認証された製品等で実現されるこ・とを入札要件とする方法•調達仕様書において、落札者が提案した製品等について ISO/IEC15408 に基づくセキュリティ設計仕様書( Security Target )を作成し、納品までに評価機関による評価を受け合格を取得することを契約事項とする旨明示する方法
☆すなわち、政府調達の際には、可能な限り認証された製品を調達するか、システムに関するSTの評価を受けることとなる。
平成 13年 3月 29日 行政情報化推進各省庁連絡会議了承
9
ITセキュリティ評価及び認証制度の概要
Office of I T Security Policy, METI 10
経緯経緯情報システムの個々の製品・システム等のセキュリティ機能を定義/共通化し、個別製品等におけるセキュリティ要件を定め、その機能を保証レベルを設け、客観的に評価し、その評価が適正な方法であることを認証するもの。欧米諸国やロシアでは、十年程前から、軍事上の観点等から、自国のセキュリティ評価・認証制度を運用
米国:TCSEC(オレンジブック。制度名TPEP。現在までに 100以上の製品・システム)( 1983~)、 Federal Criteria( 1992~)、英独仏蘭: ITSEC(現在までに 200以上の製品)( 1991~)、カナダ: CTCPEC( 1991~)新しい承認アレンジメントの合意( CC:Common Criteriaのス
タート)1998年、米英仏独加の5か国によるセキュリティ評価結果の相互承認を開始。その後オーストラリア、ニュージーランド、ギリシャ、イタリア、オランダ、ノルウェー、スペイン、スウェーデン、イスラエルが加わり、現在( 2001年 6月)14か国が相互承認を締結。セキュリティ評価基準が ISO/IEC 15408 として国際規格化 (99
年 12月 )。内容的に米英仏独加蘭の6カ国が策定を進めてきた「コモン・クライテリア」と同一。評価手法統一の取り組みも進行。
・ ISO/IEC15408を国内 JIS 化(2000年7月、 JIS X 5070 )・政府調達の際に本スキームを原則活用することを合意 (2001年3月 )・我が国において評価、認証スキームを設立 (2001 年4月)
Office of I T Security Policy, METI 11
本制度活用のねらい本制度活用のねらい
調達者が考え得る範囲で、セキュリティ対策についてベンダーに発注。
調達者が考え得る範囲で、セキュリティ対策についてベンダーに発注。
これまでの調達に、 ISO/IEC15408の考え方を導入することにより、適切なセキュリティレベルを満たした製品/システムの調達が効率的に実施可能。
これまでの調達に、 ISO/IEC15408の考え方を導入することにより、適切なセキュリティレベルを満たした製品/システムの調達が効率的に実施可能。
・総合的な視点から対策を立てられず・対策に漏れが生じる可能性・調達の都度0から対策を考えてベンダに要請することが必要・客観的にその対策が妥当かを確認する手段がない
参考とするPP(セキュリティ要求仕様書。セキュリティ対策等に関するカタログ)
・脅威の調査 ・パスワード管理 ・監視体制 ・暗号化 ・ログ管理 等
追加的に必要なPP
ST(セキュリティ設計仕様書。ベンダーが作成する製品/システム毎の設計書)
・ベンダーに ISO/IEC15408を満たすSTを作成させたり、 ISO/IEC15408 認証済み製品を調達。・必要に応じて、参考となるPPを提示、追加的に必要なPPを提示することで、当該製品/システムに特化して必要なセキュリティ対策項目を追加・0から対策を検討する必要はない・第三者機関により、セキュリティ対策の妥当性を評価
国際標準に準拠した信頼性の高いセキュリティ水準を確保
セキュリティ対策に不安
これまで
これから
Office of I T Security Policy, METI 12
本制度が対象とするもの(例)
本制度が対象とするもの(例)
オペレーティングシステムデータベース管理システムファイアウォール、アクセス制御機器ICカード、リーダー等のハードウエア
通信ソフトウエア情報システム 等電子政府を構築する上で必要なIT関連製品・システム、または、それらのシステムを構成することに資するセキュリティ製品、部品等が対象
電子政府を構築する上で必要なIT関連製品・システム、または、それらのシステムを構成することに資するセキュリティ製品、部品等が対象
Office of I T Security Policy, METI 13
制度の概要制度の概要
脅威分析セキュリティ対策方針セキュリティ要件機能仕様/品質対策
セキュリティ評価基準(用語の定義)
監査、暗号、通信、利用者データ保護、識別/認証、セキュリティ管理、プライバシー、信頼通信路 等
セキュリティ機能要件(どのような機能を具える
か)
構成管理、配布と運用、開発、ガイダンス文書、ライフサイクル、保証維持等、評価保証レベルを EAL1~ EAL 7で規定
セキュリティ保証要件(どの程度の品質チェックをす
るか)
ISO/IEC15408(JIS X 5070)
ファイアウォールデータベースメーラー 等毎に作成
プロテクション・プロファイル(PP)(誰でも開発可)
CCに基づいた製品のセキュリティ
設計書
開発者
製品開発評価/認証
登録
個別製品の設計仕様書(ST)
Office of I T Security Policy, METI 14
スキームスキーム
独立した認証プログラム独立行政法人製品評価技術基盤機構
技術指導 ・監督 評価報告書
個別製品毎に認証
認証書 認証申請
評価依頼
評価報告書
経済産業省セキュリティ評価認証の具体的事業を製品評価技術基盤機構に
委託
メーカ・ベンダ・製品の評価・認証依頼 (製品、製品情報、資料類の提出 )・製品のセキュリティ品質向上。作り込み。
民間評価機関・メーカ、ベンダ、ユーザから依頼された製品やシステムのセキュリティ評価試験を実施
ISO/IEC 17025
独立した認定プログラム
審査、認定
ISO/IEC Guide 65・評価結果の認証・評価機関の承認、技術指導及び監督・評価・認証ルール、制度の維持
15
運用のスケジュール
Office of I T Security Policy, METI 16
これまでの取組みこれまでの取組み
IPAにコモン・クライテリア・タスク・
フォース( CCTF)を設置
(1998年 5月 )
セキュリティ機能要件の検討 (JEIDA)
ISO/IEC JTC1 SC 27 WG3 における検討への対応
セキュリティ評価技術の開発・セキュリティ要件解説書・ ST作成/脆弱性分析/評価用各ガイド・ 支援ツール
セキュリティ評価技術の研究 (JEIDA)
セキュリティ評価・認証制度に関する調査( IPA)
ISO/IEC 15408の JIS化( 2000年7月)
200019991996 19981991
評価技術者研修、 IPAの開発事業製品の評価検収
Stage1Stage1
Stage2Stage2
Stage3Stage3
2001
Stage4Stage4評価・認証スキームの運用開始 (2001年 4月 )
Office of I T Security Policy, METI 17
当面のスケジュール当面のスケジュール2001.4 2001.8
制度発足認定プログラム認証プログラム立ち上げ
評価機関発足(認定された評価機関の発足)
国際的な相互承認スキームへの参加準備、参加
本格的な運用開始への準備、運用開始
ST評価・確認業務の開始
評価機関認定申請受付
2002.2 2003
18
ST評価・確認業務の活用
Office of I T Security Policy, METI 19
ST評価・確認ST評価・確認
認証済み製品の数が少ないため、認証製品を調達することを条件とした場合、入札できない場合が存在。
しかし、電子政府構築のためのセキュリティ基盤の確保は必須であり、本制度の速やかな導入が急務。
製品・システムのセキュリティ機能の基本設計方針であるSTを評価することによって、設計思想レベルでのセキュリティチェックは十分に可能であり、かつ早期に実施が可能。
セキュリティ評価の考え方を導入することが第一であり、段階的な導入が適当。
ST評価・確認業務の実施
Office of I T Security Policy, METI 20
ISO/IEC15408活用イメージISO/IEC15408活用イメージ
FW
ISO/IEC/15408評価・認証取得
サーバ
端末
ソフトウエア
ソフトウエア
FW
ISO/IEC15408認証済みの個別製品を活用することによって、キーとなる製品のセキュリティを確保。
システム全体として ISO/IEC15408の評価・認証(又はST評価・確認)を取得し、設定や利用環境も含めたセキュリティを確保(個別製品が認証済みかどうかは不問)。
認証された個別製品を導入する場合認証された個別製品を導入する場合システムとして評価・認証している場合システムとして評価・認証している場合
※ STの範囲については、重要度に応じて決定(FW周辺部分、サーバー類、またはシステム全体)
ただし、システムの評価・認証は技術的に困難な部分もあり、検討が必要。
端末ソフトウエア
サーバソフトウエア
Office of I T Security Policy, METI 21
評価・確認の流れ(認証の場合と比較)
評価・確認の流れ(認証の場合と比較)
評価・認証 ST評価・確認
製品、システムの設計、適用PPの調査
STの作成STの作成は受注ベンダー等で行う。
STの評価
評価機関への依頼、認証プログラムへの通知開発 開発
完成認証
TOE評価
完成STの確認
製品化、納品
開発…ベンダー等STの評価…評価機関(設計書レベルでの評価)TOE評価…評価機関(設計書及び実製品の評価)
認証プログラム
※ ST評価・確認では、実システム等の評価は行わない。
・認証プログラムによる評価活動のモニタリング・評価報告書を認証プログラムに提出
評価機関
TOE=評価対象
Office of I T Security Policy, METI 22
調達の条件(4段階)調達の条件(4段階)
STの作成
STの確認(認証プログラム)
STの評価(評価機関)
STの合格(評価機関)
1
2
3
4
STの作成のみを調達の条件とする場合
STの評価を条件とする場合(合格かどうかは不問)
STの評価及びその合格を条件とする場合
STの評価、合格及び確認を条件とする場合
Office of I T Security Policy, METI 23
今後の展開今後の展開
評価技術、ツール等の技術開発の推進効果的な評価技術、ツール等の開発システムの評価技術 等
人材育成評価技術者等の育成プログラムへの助成
普及啓発活動国際アレンジメント( CCRA) への参加
調査、関係機関との調整 等
Office of I T Security Policy, METI 24
More info…More info…
http://www.meti.go.jp/policy/netsecurity/
経済産業省 商務情報政策局情報セキュリティ政策室 田辺 雄史 (TANABE Takefumi)
[email protected] Tel : 03-3501-0397 Fax: 03-3501-6639