担当:広報室
電話:03-5281-7548
2009年1月13日 情報・コミュニケーション部 佐藤 能行
このコラムでも既に何度か言及していますが(*1)、ISO/IEC15408に基づくITセキュリティ評価及び認証制度とは、ベンダーやサービスプロバイダーが開発したIT製品や情報システムのセキュリティ機能が、開発者の主張のとおりにきちんと設計され実装されていることを第三者である評価機関が評価し、その評価が適切なプロセスのもとに行われたことを認証機関が確認することで評価結果を認証する制度です。
同制度の認証を受けたIT製品や情報システムは、その設計・製造段階においては情報セキュリティ面での必要な機能が確実に実装されていることについて、その利用局面においては適切な環境のもとで設計者が想定した情報セキュリティ機能が確実に働くことについて、高い信頼を得ることができます。すなわち、当該製品の調達担当者あるいは当該システムを導入する組織の情報管理責任者にとって、情報セキュリティの実装に関する専門的な知識を自ら有していなくても、必要な情報セキュリティを担保するIT製品や情報システムの選択を可能にする、有用な制度であるということができます。
この制度の下では、IT製品や情報システムが設置され稼動する環境や、その環境下で製品がさらされる脅威とその脅威に対する対策の検討など、いわば情報セキュリティ面での設計方針を厳密に記述した要件定義書を「セキュリティターゲット(ST)」と呼び慣わすことになっています。STは個々の製品ごとに開発者が作成し、同じ分野の製品であっても、相異なる製品であれば、STもまたそれぞれに作成されなければならないことになっています。現在、世界全体での評価認証済み製品の総数は1000を超えていますが、それと同じ数のSTがこれまでに作成されたことになります。
STの作成においては、とりわけ設計書における全記述の整合性(記述の一貫性)と、セキュリティ事象の網羅性が重要であり、システム開発に関する高度な訓練を受けた設計担当者といえども、ST作成に関する相応の専門知識と訓練が必要となるのが普通です。さらに、設計が完了し、それに基づいて作られた製品の評価段階においても、STの不備が見つかり、STの版を重ねる場合も少なくありません。
先に「同じ分野の製品であっても、相異なる製品であれば、STもまたそれぞれに作成されなければならないことになる」と書きましたが、同じ分野の製品であって、同じような設置環境のもとでほとんど同じ機能を提供する製品なら、STも同じように作成できるのではないか、と考えるのは当然のことです。そこで、個々の製品の実際の作りとは独立に、ある製品分野に共通のセキュリティ脅威とその対策として機能の共通項を括り出し、STの雛形として作成されるのが、表題に掲げた「プロテクションプロファイル(PP)」と呼ばれるものです。
STがセキュリティの要件定義書であるのに対し、PPはセキュリティの要求仕様書ということができます。これは、STが製品の開発者が個々にセキュリティ機能を考察して作成するものであるのに対して、PPは利用者側である調達担当者や組織の情報管理責任者、あるいはそれらの製造業界団体がその分野の製品に備わっているべきセキュリティ機能についての要求をまとめたものとして作るからです。PPはSTを作成するための雛形として使われることを期待して作られますから、ISO/IEC15408で定められたSTとPPの書式は、STには必須である個々の製品固有の記述を除けば同じような形式になっています。
ある製品分野全体で使われる有用なPPができ上がるためには、一つ条件があります。それは、その製品分野が十分に成熟し情報セキュリティ面での特徴が明確になっていることです。2009年1月の時点でCCRA(*2)サイトに登録されている認証済みPPの数は126本ですが、それらの中でも数が多いのはファイアウォール、侵入検知システム、ICチップ-スマートカード、ネットワーク関連装置などです。いずれも、製品としての歴史が古いか、あるいは情報システム構築にとって重要な部品として世界中で利用されている製品分野です。
製品開発者は、開発する製品が属する分野から適切なPPを選択し、それを参照する形でSTを作成することになります。また、情報管理責任者や調達担当者は導入を予定している分野の製品について、必要な情報セキュリティ機能が記述されたPPを頼りに、そのSTが当該PPを参照していることを確認することで目指す製品を選択すればよいことになります。
現在米国において、このPPの作成に関して注目すべきプロジェクトが走っています。製品分野は、Hardcopy Device(HCD:プリンター、スキャナー、複写機、MFP*3、等)と呼ばれる普通のオフィス機器です。
HCD分野はデジタル化・ネットワーク機器化の進展により、IT製品としてのセキュリティ対策が欠かせない分野になったことで、多くの製品がISO/IEC15408に基づくITセキュリティ評価及び認証を取得しています。この分野にはこれまで標準化されたPPは存在しませんでしたが、米国電子電気学会(IEEE)はIEEE P2600と呼ばれる標準化委員会を組織して2004年からPPの作成を進め、2008年に至ってPP案の評価が開始されたのです(評価機関は米国のATSEC社)。IEEE P2600は2009年以降の早い時期に評価を完了させ、有効なPPとして認証されることを目標としているようです。
現時点で作成されたP2600文書群は、本体のP2600と機器の利用環境に合わせたP2600.1からP2600.4までの4つのPPから構成されています。これまでPPの作成者といえば、ユーザ団体、調達側としての政府機関や業界団体であったところに、学術組織であるIEEEがPP開発に乗り出したことが、いかにもプラグマティズムの国・米国らしい、と筆者は注目しています。IT製品の情報セキュリティ対策の要としてPPの重要性が高まっていることの証左といえるでしょう。
わが国においては、現在、2012年を見据えた第2次情報セキュリティ基本計画の策定が進められており、2008年末に公表された計画案に対するパブリックコメントの募集が行われているところです。当該計画案や統一基準(第4版)においても、第1次計画に引き続き、調達品におけるITセキュリティ評価認証取得製品の重要性が強調されていますが、残念なことに、ITセキュリティ評価の肝とも言うべきSTについて、わが国の調達側の要求を明確にした雛形としてのPPがいまだ存在していません。ST作成はベンダーごとの自主努力に任されたままになっています。
STの作成には相応の専門知識と訓練が必要となることは既に述べた通りです。政府官公庁で使われるIT製品の各分野で、ST作成作業を軽減する有効なPPの開発が強く望まれます。
担当:広報室
電話:03-5281-7548
