コラム

政府機関の情報セキュリティ対策のための統一基準

2011年5月11日

  平成23年4月21日に開催された情報セキュリティ政策会議において「政府機関の情報セキュリティ対策のための統一基準(以下「統一基準」)」が従来の統一基準第4版から改訂されました。最近の技術の変化に迅速に対応するために従来の統一基準を分割して「政府機関の情報セキュリティ対策のための統一管理基準(以下「統一管理基準」)」と「政府機関の情報セキュリティ対策のための統一技術基準(以下「統一技術基準」)」の2つとし、統一技術基準は各府省庁において適切な者が適宜対策基準を策定することにより、クラウド技術や最新の脅威に迅速に対応できるようになりました。

  ITセキュリティセンターの業務であるIT セキュリティ評価及び認証制度の評価業務に係る点についても大きな変更がありました。統一管理基準の「1.5.1.1情報システムのセキュリティ要件」のうち(d)項の情報システムの調達に関する項目の位置付けが、第4版では【強化遵守事項】であったものから、より厳しく遵守が義務付けられる【基本遵守事項】に変更になりました。その内容についても変更があり、統一管理基準に付随して公表されている「政府機関の情報セキュリティ対策のための統一管理基準 解説書」(以下「統一管理基準_解説書」)によると、IT セキュリティ評価及び認証制度に基づく認証取得製品を調達する判断について、“製品分野として当該認証を取得する必要性の判断については、「IT セキュリティ評価及び認証制度等に基づく認証取得製品分野リスト(以下認証取得製品分野リスト)」に則ることが望ましい。”と明記されました。

政府機関の情報セキュリティ対策のための統一管理基準
1.5.1.1情報システムのセキュリティ要件
【基本遵守事項】

(d) 情報システムセキュリティ責任者は、構築する情報システムの構成要素のうち製品として調達する機器及びソフトウェアについて、IT セキュリティ評価及び認証制度に基づく認証取得製品を調達する必要性の有無を検討し、必要があると認めた場合には、当該製品の分野において要求するセキュリティ機能を満たす採用候補製品が複数あり、その中に要求する評価保証レベルに合致する当該認証を取得している製品がある場合において、当該製品を情報システムの構成要素として選択すること。

解説:情報セキュリティ機能が重要である機器等の購入において、要求する機能を有する製品に選択肢がある場合、ISO/IEC 15408 に基づくIT セキュリティ評価及び認証制度による認証を取得しているものを選択することを求める事項である。第三者による情報セキュリティ機能の客観的な評価によって、安全性の高い情報システムの構築が期待できる。製品分野として当該認証を取得する必要性の判断については、「IT セキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」に則ることが望ましい。なお、国際承認アレンジメント(CCRA)参加国におけるISO/IEC 15408 に基づく認証取得製品又は実質的にCC 認証取得製品とセキュリティ機能上同等であると確認されている製品(上記のリストを参照)を活用することが考えられる。

(引用:政府機関の情報セキュリティ対策のための統一基準および政府機関の情報セキュリティ対策のための統一基準 解説書)

  この変更は 2010年10月12日付の当コラム「情報セキュリティ2010」で触れたように、情報セキュリティ政策会議が決定した「情報セキュリティ2010」においてITセキュリティ評価及び認証制度の適用基準の明確化を行うとの方針に沿ったものと思われます。

  ここで引用されている認証取得製品分野リストは統一管理基準をうけて経済産業省で発表されたもので、統一管理基準_解説書で求められている“当該認証を取得する必要性の判断について”その基準を示すものです。認証取得製品分野リストでは認証を取得する必要性について、関連法令等に基づいて保護すべき重要度の高い情報を定義し、この情報を扱う政府情報システムのうち漏洩や改ざんの被害を生じうる恐れがある6つの具体的な製品分野を特定しています。

表 認証取得製品分野リストの製品分野

製品分野名 製品分野定義
スマートカード(ICカード) プラスチック製カード等にIC チップを埋め込み、情報を記録できるようにした製品
ファイアウォール インターネットと内部ネットワークの境界に配置され、パケットの内容と事前に定義されたルールに基づきパケット通過を制御する製品
OS(サーバOSに限る) コンピュータのハードウェア制御・操作のために用いられる基本ソフトウェア
デジタル複合機(MFP) プリンタ機能を標準で有しスキャナ、FAX、コピーのいずれか2つ以上の機能を標準で装備している製品
不正侵入検知/防止システム(IDS/IPS) ネットワークやシステムの稼動状況を監視し、組織内のコンピューターネットワークへの外部からの侵入を報告、防御する製品
データベース管理システム(DBMS) 共有データとしてのデータベースを管理し、データに対するアクセス要求に応える製品

準拠すべき規格・制度:ISO/IEC15408(Common Criteria)
(引用:経済産業省「IT セキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」から抜粋)

  なお、認証取得製品分野リストでは、ITセキュリティセンターが試験機関となっている暗号モジュール試験及び認証制度(JCMVP)の活用も視野に入れながら認証取得製品分野リストを定期的又は必要に応じて見直しすることにも触れています。

≪参照≫

注目ワード> ISO/IEC15408 コモンクライテリア JISEC 電子政府推奨暗号リスト JCMVP  FIPS140 CMVP/CAVP
Copyright (C) 2007-2017 Information Technology Security Center. All Rights Reserved