1 / 24

IT セキュリティ評価及び認証制度の活用について

IT セキュリティ評価及び認証制度の活用について. 平成13年9月 経済産業省 商務情報政策局 情報セキュリティ政策室 田辺 雄史. 本日の内容. 基本的な考え方 政府における本制度の位置づけ 政府調達における本制度の利用方針 ITセキュリティ評価及び認証制度の概要 運用のスケジュール ST 評価・確認業務の活用 今後の展開. 基本的な考え方. セキュアな電子政府構築のためには、情報セキュリティ基盤の確保が必要不可欠 政府調達において、客観的な評価を受けた信頼できる IT 製品・システムを導入することが重要

gianna
Download Presentation

IT セキュリティ評価及び認証制度の活用について

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ITセキュリティ評価及び認証制度の活用についてITセキュリティ評価及び認証制度の活用について 平成13年9月 経済産業省 商務情報政策局 情報セキュリティ政策室 田辺 雄史

  2. 本日の内容 • 基本的な考え方 • 政府における本制度の位置づけ • 政府調達における本制度の利用方針 • ITセキュリティ評価及び認証制度の概要 • 運用のスケジュール • ST評価・確認業務の活用 • 今後の展開 Office of IT Security Policy, METI

  3. 基本的な考え方 • セキュアな電子政府構築のためには、情報セキュリティ基盤の確保が必要不可欠 • 政府調達において、客観的な評価を受けた信頼できるIT製品・システムを導入することが重要 • 国際的な信頼性の確保、市場競争力確保の観点から、国際的なアレンジメントの参加を目指す(2003年度を目途) Office of IT Security Policy, METI

  4. 政府における本制度の位置づけ

  5. 政府の動き ミレニアム・プロジェクト 平成11年12月19日 【共通基盤技術開発】 ウイルス対策、不正アクセス対策、暗号技術等の技術開発に取り組むとともに、セキュリティ評価体系を構築(通産省) ハッカー対策等の基盤整備に係る行動計画 平成12年1月21日 情報セキュリティ関係省庁局長等会議決定 1 政府部内における取組の強化 (1) セキュリティに関する信頼性の高い政府システムの構築      → 各省庁の調達におけるセキュリティ水準の高い製品等の利用方針      → 技術開発 (2) 監視・緊急対処体制の整備・強化 (3) 総合的・体系的な情報セキュリティ対策の検討 2 民間等における取組の推進    国以外の者(民間等)への情報提供、民間重要インフラ等に係る取組の推進 3 国際的連携の強化 IT戦略本部(情報セキュリティ対策推進会議、情報セキュリティ部会) 平成12年7月18日 「情報セキュリティポリシーに関するガイドライン」の策定 平成12年12月15日 「重要インフラのサイバーテロ対策に係る特別行動計画」の策定 Office of IT Security Policy, METI

  6. e-Japan重点計画(METI関連) 平成13年3月29日 IT戦略本部 6.高度情報通信ネットワークの安全性及び信頼性の確保  ○暗号技術の標準化の推進  ○情報セキュリティマネジメント規格の確立 ○情報セキュリティ技術評価・認証事業の実施 2001年度中に、情報機器等の情報セキュリティ関連国際規格(ISO/IEC15408)に基づいた評価・認証事業を開始するとともに、2003年度までに、政府レベルでの認証に係る国際相互承認スキームへの参加を目指す。  ○不正アクセス対策・ウイルス対策等に関する情報提供体制の強化  ○情報セキュリティに関する基盤技術の研究開発の推進  ○情報セキュリティに関する資格制度の整備  ○ハイテク犯罪対策の係る国際連携の強化  ○情報セキュリティに関するグローバル情報交換ネットワークの構築 Office of IT Security Policy, METI

  7. e-Japan2002プログラム 平成13年6月26日 IT戦略本部 5.高度情報通信ネットワークの安全性及び信頼性の確保 (1)信頼性の高い「電子政府の構築」 (2)サイバーテロ対策の強化 (3)情報セキュリティの意識の向上 (4)民間部門における情報セキュリティ対策への支援 (5)情報セキュリティに係る基盤技術の開発     暗号技術、情報セキュリティ評価技術等の基盤技術の開発を行うほか、国防・治安関連技術について支障のない範囲内で政府他部門・民間にも公開する。 Office of IT Security Policy, METI

  8. 政府利用方針(ポイント) 平成13年3月29日 行政情報化推進各省庁連絡会議了承  各省庁は、セキュリティに関する信頼度の高い情報システムの構築を図る観点から、今後の情報システムの構築に当たっては、可能な限り、次のような方法等により、ISO/IEC15408に基づいて評価又は認証された製品等の利用を推進するものとする。 • 調達仕様書において、セキュリティ機能の全部又は一部がISO/IEC15408に基づいて評価・認証された製品等で実現されることを入札要件とする方法 • 調達仕様書において、落札者が提案した製品等についてISO/IEC15408に基づくセキュリティ設計仕様書(Security Target)を作成し、納品までに評価機関による評価を受け合格を取得することを契約事項とする旨明示する方法 ☆すなわち、政府調達の際には、可能な限り認証された製品を調達するか、システムに関するSTの評価を受けることとなる。 Office of IT Security Policy, METI

  9. ITセキュリティ評価及び認証制度の概要

  10. 経緯 情報システムの個々の製品・システム等のセキュリティ機能を定義/共通化し、個別製品等におけるセキュリティ要件を定め、その機能を保証レベルを設け、客観的に評価し、その評価が適正な方法であることを認証するもの。 • 欧米諸国やロシアでは、十年程前から、軍事上の観点等から、自国のセキュリティ評価・認証制度を運用 • 米国:TCSEC(オレンジブック。制度名TPEP。現在までに100以上の製品・システム)(1983~)、Federal Criteria(1992~)、英独仏蘭:ITSEC(現在までに200以上の製品)(1991~)、カナダ:CTCPEC(1991~) • 新しい承認アレンジメントの合意(CC:Common Criteriaのスタート) • 1998年、米英仏独加の5か国によるセキュリティ評価結果の相互承認を開始。その後オーストラリア、ニュージーランド、ギリシャ、イタリア、オランダ、ノルウェー、スペイン、スウェーデン、イスラエルが加わり、現在(2001年6月)14か国が相互承認を締結。 • セキュリティ評価基準がISO/IEC 15408 として国際規格化(99年12月)。 • 内容的に米英仏独加蘭の6カ国が策定を進めてきた「コモン・クライテリア」と同一。 • 評価手法統一の取り組みも進行。 ・ISO/IEC15408を国内JIS化(2000年7月、JIS X 5070) ・政府調達の際に本スキームを原則活用することを合意(2001年3月) ・我が国において評価、認証スキームを設立(2001年4月) Office of IT Security Policy, METI

  11. 本制度活用のねらい これまで ・総合的な視点から対策を立てられず ・対策に漏れが生じる可能性 ・調達の都度0から対策を考えてベンダに要請することが必要 ・客観的にその対策が妥当かを確認する手段がない 調達者が考え得る範囲で、セキュリティ対策についてベンダーに発注。  ・脅威の調査  ・パスワード管理  ・監視体制  ・暗号化  ・ログ管理 等 セキュリティ対策に不安 これから ・ベンダーにISO/IEC15408を満たすSTを作成させたり、ISO/IEC15408認証済み製品を調達。 ・必要に応じて、参考となるPPを提示、追加的に必要なPPを提示することで、当該製品/システムに特化して必要なセキュリティ対策項目を追加 ・0から対策を検討する必要はない ・第三者機関により、セキュリティ対策の妥当性を評価 これまでの調達に、ISO/IEC15408の考え方を導入することにより、適切なセキュリティレベルを満たした製品/システムの調達が効率的に実施可能。 国際標準に準拠した信頼性の高いセキュリティ水準を確保 追加的に必要なPP 参考とするPP(セキュリティ要求仕様書。 セキュリティ対策等に関するカタログ) ST(セキュリティ設計仕様書。ベンダーが作成する製品/システム毎の設計書) Office of IT Security Policy, METI

  12. 本制度が対象とするもの(例) • オペレーティングシステム • データベース管理システム • ファイアウォール、アクセス制御機器 • ICカード、リーダー等のハードウエア • 通信ソフトウエア • 情報システム  等 電子政府を構築する上で必要なIT関連製品・システム、または、それらのシステムを構成することに資するセキュリティ製品、部品等が対象 Office of IT Security Policy, METI

  13. 制度の概要 ISO/IEC15408(JIS X 5070) プロテクション・プロファイル(PP) (誰でも開発可) 登録 セキュリティ評価基準(用語の定義) ファイアウォール データベース メーラー 等毎に作成 脅威分析 セキュリティ対策方針 セキュリティ要件 機能仕様/品質対策 評価/認証 セキュリティ機能要件 (どのような機能を具えるか) 製品開発 監査、暗号、通信、利用者データ保護、識別/認証、セキュリティ管理、プライバシー、信頼通信路 等 個別製品の設計仕様書(ST) CCに基づいた 製品のセキュリティ 設計書 セキュリティ保証要件 (どの程度の品質チェックをするか) 構成管理、配布と運用、開発、ガイダンス文書、ライフサイクル、保証維持等、評価保証レベルをEAL1~EAL7で規定 開発者 Office of IT Security Policy, METI

  14. 経済産業省 セキュリティ評価認証の具体的事業を製品評価技術基盤機構に委託 ISO/IEC Guide 65 独立した認証プログラム 独立行政法人製品評価技術基盤機構 ・評価結果の認証 ・評価機関の承認、技術指導及び監督 ・評価・認証ルール、制度の維持 認証書 個別製品毎に認証 認証申請 技術指導 ・監督 評価報告書 メーカ・ベンダ 民間評価機関 審査、認定 ・製品の評価・認証依頼 (製品、製品情報、資料類の提出) ・製品のセキュリティ品質向上。作り込み。 ・メーカ、ベンダ、ユーザから依頼された製品やシステムのセキュリティ評価試験を実施 評価報告書 独立した 認定プログラム 評価依頼 ISO/IEC 17025 スキーム Office of IT Security Policy, METI

  15. 運用のスケジュール

  16. これまでの取組み 1999 2000 2001 1991 1998 1996 ISO/IEC JTC1 SC 27 WG3 における検討への対応 Stage1 セキュリティ機能要件の検討 (JEIDA) セキュリティ評価技術の研究 (JEIDA) IPAにコモン・クライテリア・タスク・フォース(CCTF)を設置 (1998年5月) セキュリティ評価技術の開発 ・セキュリティ要件解説書 ・ST作成/脆弱性分析/評価用各ガイド ・ 支援ツール Stage2 ISO/IEC 15408のJIS化(2000年7月) セキュリティ評価・認証制度に関する調査(IPA) Stage3 評価技術者研修、IPAの開発事業製品の評価検収 Stage4 評価・認証スキームの運用開始(2001年4月) Office of IT Security Policy, METI

  17. 当面のスケジュール 2001.4 2001.8 2002.2 2003 評価機関認定申請受付 制度発足 認定プログラム 認証プログラム立ち上げ 評価機関発足(認定された評価機関の発足) ST評価・確認業務の開始 本格的な運用開始への準備、運用開始 国際的な相互承認スキームへの参加準備、参加 Office of IT Security Policy, METI

  18. ST評価・確認業務の活用

  19. ST評価・確認 • 認証済み製品の数が少ないため、認証製品を調達することを条件とした場合、入札できない場合が存在。 • しかし、電子政府構築のためのセキュリティ基盤の確保は必須であり、本制度の速やかな導入が急務。 • 製品・システムのセキュリティ機能の基本設計方針であるSTを評価することによって、設計思想レベルでのセキュリティチェックは十分に可能であり、かつ早期に実施が可能。 • セキュリティ評価の考え方を導入することが第一であり、段階的な導入が適当。 ST評価・確認業務の実施 Office of IT Security Policy, METI

  20. ISO/IEC15408活用イメージ 認証された個別製品を導入する場合 システムとして評価・認証している場合 サーバ サーバ ソフトウエア ソフトウエア FW FW 端末 端末 ソフトウエア ソフトウエア ISO/IEC15408認証済みの個別製品を活用することによって、キーとなる製品のセキュリティを確保。 システム全体としてISO/IEC15408の評価・認証(又はST評価・確認)を取得し、設定や利用環境も含めたセキュリティを確保(個別製品が認証済みかどうかは不問)。 ※STの範囲については、重要度に応じて決定(FW周辺部分、サーバー類、またはシステム全体)    ただし、システムの評価・認証は技術的に困難な部分もあり、検討が必要。 ISO/IEC/15408評価・認証取得 Office of IT Security Policy, METI

  21. 評価・確認の流れ(認証の場合と比較) 評価・認証 ST評価・確認 製品、システムの設計、適用PPの調査 STの作成は受注ベンダー等で行う。 開発 開発 STの作成 評価機関への依頼、 認証プログラムへの通知 STの評価 開発…ベンダー等 STの評価…評価機関 (設計書レベルでの評価) TOE評価…評価機関 (設計書及び実製品の評価) TOE評価 TOE=評価対象 ・認証プログラムによる評価活動のモニタリング ・評価報告書を認証プログラムに提出 ※ST評価・確認では、実システム等の評価は行わない。 完成 完成 認証 STの確認 評価機関 認証プログラム 製品化、納品 Office of IT Security Policy, METI

  22. 調達の条件(4段階) STの作成 1 STの作成のみを調達の条件とする場合 STの評価(評価機関) 2 STの評価を条件とする場合(合格かどうかは不問) STの合格(評価機関) 3 STの評価及びその合格を条件とする場合 STの確認(認証プログラム) 4 STの評価、合格及び確認を条件とする場合 Office of IT Security Policy, METI

  23. 今後の展開 • 評価技術、ツール等の技術開発の推進 • 効果的な評価技術、ツール等の開発 • システムの評価技術 等 • 人材育成 • 評価技術者等の育成プログラムへの助成 • 普及啓発活動 • 国際アレンジメント(CCRA)への参加 • 調査、関係機関との調整 等 Office of IT Security Policy, METI

  24. More info… http://www.meti.go.jp/policy/netsecurity/ 経済産業省 商務情報政策局 情報セキュリティ政策室   田辺 雄史(TANABE Takefumi) tanabe-takefumi@meti.go.jp Tel : 03-3501-0397 Fax: 03-3501-6639 Office of IT Security Policy, METI

More Related