コラム
情報セキュリティ2011
情報セキュリティ政策会議が情報セキュリティ2011を公表しました。情報セキュリティ2011は我が国の情報セキュリティ戦略の年度計画であり2011年度及び2012年度に実施する具体的な取り組みを規定しています。昨年度は同様な趣旨で情報セキュリティ2010が策定されましたが、昨年度からのIT環境の変化に加えて、東日本大震災を踏まえ、バックアップシステム、非常用電源の強化、クラウドコンピューティングの活用等、耐災害性の高い情報通信システムの在り方等を検討し、これらについて再構築すべきであるとして、昨年度に引き続いての公表となったものです。
以下では情報セキュリティ2011のうち、ITSCが評価機関になっているITセキュリティ評価及び認証制度、およびITSCが試験機関になっている暗号モジュール試験及び認証制度にかかわる項目に関して着目します。
情報セキュリティ2011のⅣ-2-(1)-①-カ「政府機関の情報セキュリティ対策のための統一基準の見直し」では2011年4月に改定された政府機関の情報セキュリティ対策のための統一基準群(以下「統一基準群」)の見直しを挙げています(別枠1参照)。
Ⅳ-2-(1)-①-カ 政府機関の情報セキュリティ対策のための統一基準の見直し
(エ) 安全性・信頼性の高いIT製品等の利用推進(内閣官房、経済産業省及び全府省庁)
a) 各府省庁は、安全性・信頼性の高い情報システムを構築するため、IT製品等を調達する際には、政府機関統一基準群に基づき、「IT セキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」(平成23年4月21日経済産業省)を参照しつつ、「ITセキュリティ評価及び認証制度」により認証された製品等を取り扱う。
b) 経済産業省は、各府省庁が情報セキュリティに配慮したIT システムの調達を実効的かつ効率的に行えるようにするため、IPAが運営するIT セキュリティ評価及び認証制度の認証製品の活用推進のための検討を引き続き行い、本リストの改善を図るなど、政府機関等における活用を促進する。
a)項では、統一基準群ではその解説書の中で、“製品分野として当該認証を取得する必要性の判断については「IT セキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」に則ることが望ましい”とあるので、これをさらに推進するよう求めるものです。
b)項では「ITセキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」の改善を図って活用を促進するよう求めています。なお、当該製品分野リストでは本文中に「定期的又は必要に応じて見直しを行う」とされています(別枠2参照)ので、暗号モジュール試験及び認証制度(JCMVP)も含めて本項に従って今後も変更されることが予想されます。
9.製品分野リストの見直し
本製品分野リストは、IT製品分野ごとのCC取得製品件数の増加及び製品の普及、セキュリティ上の障害発生状況等を踏まえるとともに、暗号モジュール試験及び認証制度(JCMVP)などCC制度以外の第三者認証制度の活用も視野に入れ、定期的又は必要に応じて見直しを行う。
暗号モジュール試験及び認証制度にかかわる項目は情報セキュリティ2011のⅣ-2-(1)-①-エ「政府機関における安全な暗号利用の推進」(別枠3参照)に記載されています。この項目は情報セキュリティ2010からの変更はありませんが認証製品の優先利用を求めています。
Ⅳ-2-(1)-①-エ 政府機関における安全な暗号利用の推進
(イ) 安全性・信頼性の高い暗号モジュールの利用推進(内閣官房、経済産業省及び全府省庁)
安全性の高い暗号モジュールの活用を推進するため、引き続き、IPAの運用する暗号モジュール試験及び認証制度を推進するとともに、暗号モジュールを調達する際には、必要に応じて、同制度により認証された製品等を優先的に取り扱う。
≪参照≫