統一基準
統一基準とは
統一基準は「政府機関の情報セキュリティ対策の強化に関する基本方針(平成17年9月15日付情報セキュリティ政策会議決定)」に基づき、政府機関における統一的な枠組みの中で、それぞれの府省庁が情報セキュリティの確保のために採るべき対策、及びその水準を高めるための基準です。
2009年に定められた「政府機関の情報セキュリティ対策のための統一基準(第4版)」が2011年4月21日に改訂され「政府機関の情報セキュリティ対策のための統一管理基準」および「政府機関の情報セキュリティ対策のための統一技術基準」(両者あわせて「統一基準」と呼ぶ)として施行されています。
統一基準とITセキュリティ評価及び認証制度
統一基準では政府機関がIT製品を調達する場合にITセキュリティ評価及び認証制度の認証製品を選定することが求められています。統一基準のうちITセキュリティ評価及び認証制度に関する重要な項目は以下のとおりです。
(1) 情報システムの計画
【基本遵守事項】
(d) 情報システムセキュリティ責任者は、構築する情報システムの構成要素のうち製品として調達する機器及びソフトウェアについて、ITセキュリティ評価及び認証制度に基づく認証取得製品を調達する必要性の有無を検討し、必要があると認めた場合には、当該製品の分野において要求するセキュリティ機能を満たす採用候補製品が複数あり、その中に要求する評価保証レベルに合致する当該認証を取得している製品がある場合において、当該製品を情報システムの構成要素として選択すること。
解説:情報セキュリティ機能が重要である機器等の購入において、要求する機能を有する製品に選択肢がある場合、ISO/IEC 15408 に基づくITセキュリティ評価及び認証制度による認証を取得しているものを選択することを求める事項である。第三者による情報セキュリティ機能の客観的な評価によって、安全性の高い情報システムの構築が期待できる。製品分野として当該認証を取得する必要性の判断については、「ITセキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」に則ることが望ましい。なお、国際承認アレンジメント(CCRA)参加国におけるISO/IEC 15408 に基づく認証取得製品又は実質的にCC 認証取得製品とセキュリティ機能上同等であると確認されている製品(上記のリストを参照)を活用することが考えられる。
(注)文中の「ITセキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」については別項目参照。(引用:政府機関の情報セキュリティ対策のための統一管理基準 解説書)
上記項目を含めてITセキュリティ評価及び認証制度に関連する項目が4項目あります(Appendix参照)。
認証取得製品分野リストとは
統一基準で参照されている「ITセキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」(以下「認証取得製品分野リスト」と呼ぶ)は経済産業省が定めたもので、各府省庁において、調達時に当該製品分野リストを活用することにより、政府機関の情報システムの構成要素における適切な情報セキュリティ対策の確保と当該情報セキュリティ対策の説明責任を果たすことができるものです。
認証取得製品分野リストでは認証を取得する必要性について、関連法令等に基づいて保護すべき重要度の高い情報を定義し、この情報を扱う政府情報システムのうち漏洩や改ざんの被害を生じうる恐れがある6つの具体的な製品分野を特定しています。
表 ITセキュリティ評価及び認証制度等に基づく認証取得製品分野リスト(認証取得製品分野リスト)
(引用:経済産業省「IT セキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」から抜粋)
| 製品分野名 | 製品分野定義 | 利用用途 | 参照PP | 標準EAL |
|---|---|---|---|---|
|
スマートカード (IC カード) |
プラスチック製カード等にIC チップを埋め込み、情報を記録できるようにした製品 | 住民基本台帳カードやIC 旅券等、広く国民に配布され身分確認に利用される。または国民の情報アクセスの認証のために利用される | 参照1 | EAL4+以上 |
| ファイアウォール | インターネットと内部ネットワークの境界に配置され、パケットの内容と事前に定義されたルールに基づきパケット通過を制御する製品 | 不正アクセスから保護すべき重要度の高い情報を扱う情報システムを保護する | 参照2 | EAL4 以上 |
| OS (サーバOS に限る) |
コンピュータのハードウェア制御・操作のために用いられる基本ソフトウェア | 保護すべき重要度の高い情報を扱う情報システムの基盤として稼動するOS | 参照3 | EAL3 以上 |
| デジタル複合機 (MFP) |
プリンタ機能を標準で有しスキャナ、FAX、コピーのいずれか2つ以上の機能を標準で装備している製品 | 保護すべき重要度の高い情報の複写やデジタルデータ化、送信等に利用される | 参照4 | EAL3 以上 |
| 不正侵入検知/防止システム (IDS/IPS) |
ネットワークやシステムの稼動状況を監視し、組織内のコンピューターネットワークへの外部からの侵入を報告、防御する製品 | ネットワーク上の通信を監視するなどにより、インターネットからの不正アクセスを検知し防止する | 参照5 | EAL3 以上 |
| データベース管理システム (DBMS) |
共有データとしてのデータベースを管理し、データに対するアクセス要求に応える製品 | 国民の個人情報等保護すべき重要度の高い情報をデータベースとして保管するために利用される(サーバOS 環境下で稼働するものに限る) | 参照6 | EAL2 以上 |
準拠すべき規格・制度: ISO/IEC15408(Common Criteria)
一般的に必要となるセキュリティ機能: セキュリティ監査、送受信の否認不可、暗号化サポート機能、アクセス制御、データ認証、送出データ保護、情報フロー制御、入力データ保護、内部転送データ保護、残存情報保護、ロールバック、蓄積データ完全性、転送データ機密性、転送データ完全性、識別・認証、セキュリティ管理、プライバシー保護、セキュリティ機能保護、資源利用管理、TOE アクセス制御、高信頼パス/チャネルの各セキュリティ機能について、調達者のニーズに応じて選択。
個別製品ごとにどのセキュリティ機能が認証されているかについては、IPA ポータルサイトを参照。
- 参照1:旅券:旅券冊子用IC のためのプロテクションプロファイル
- 参照2: U.S.Government Protection Profile for Traffic Filter Firewall In Basic Robustness Environments
- 参照3: Controlled Access Protection Profile
- 参照4: 2600.X, Protection Profile for Hardcopy Devices Controlled Access Protection Profile
- 参照5:U.S.Government Protection Profile Intrusion Detection System - System for Basic Robustness Environments
- 参照6: U.S.Government Protection Profile for Database Management Systems in Basic Robustness Environments
認証取得製品分野リストに該当するITセキュリティセンターの実績
ITセキュリティセンターでは認証取得製品分野リストに該当する製品に関して多数の評価実績があります。評価に関するご質問・ご要望のある方はお問い合わせ窓口よりご連絡ください。
関連資料はこちら(全て内閣官房情報セキュリティセンター(NISC)発行)
- 政府機関の情報セキュリティ対策のための統一規範(pdfファイル)
- 政府機関の情報セキュリティ対策における政府機関統一管理基準及び政府機関統一技術基準の策定と運用等に関する指針(pdfファイル)
- 政府機関の情報セキュリティ対策のための統一管理基準(pdfファイル)
- 「政府機関の情報セキュリティ対策のための統一管理基準」解説書(pdfファイル)
- 政府機関の情報セキュリティ対策のための統一技術基準(pdfファイル)
- 「政府機関の情報セキュリティ対策のための統一技術基準」解説書(pdfファイル)
- IT セキュリティ評価及び認証制度等に基づく認証取得製品分野リスト(pdfファイル)
- 報道資料 情報セキュリティ政策会議第25回会合の開催について「政府機関の情報セキュリティ対策のための統一基準」の改定等(pdfファイル)
Appendix ITセキュリティ評価及び認証制度に関連する4項目
(1)情報システムの計画(1)(本項目は本文と重複します)
(1) 情報システムの計画
【基本遵守事項】
(d) 情報システムセキュリティ責任者は、構築する情報システムの構成要素のうち製品として調達する機器及びソフトウェアについて、ITセキュリティ評価及び認証制度に基づく認証取得製品を調達する必要性の有無を検討し、必要があると認めた場合には、当該製品の分野において要求するセキュリティ機能を満たす採用候補製品が複数あり、その中に要求する評価保証レベルに合致する当該認証を取得している製品がある場合において、当該製品を情報システムの構成要素として選択すること。
解説:情報セキュリティ機能が重要である機器等の購入において、要求する機能を有する製品に選択肢がある場合、ISO/IEC 15408 に基づくITセキュリティ評価及び認証制度による認証を取得しているものを選択することを求める事項である。第三者による情報セキュリティ機能の客観的な評価によって、安全性の高い情報システムの構築が期待できる。製品分野として当該認証を取得する必要性の判断については、「ITセキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」に則ることが望ましい。なお、国際承認アレンジメント(CCRA)参加国におけるISO/IEC 15408 に基づく認証取得製品又は実質的にCC 認証取得製品とセキュリティ機能上同等であると確認されている製品(上記のリストを参照)を活用することが考えられる。
(注)文中の「ITセキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」については別項目参照。(引用:政府機関の情報セキュリティ対策のための統一管理基準 解説書)
(2)情報システムの計画(2)
(1) 情報システムの計画
【強化遵守事項】
(g) 情報システムセキュリティ責任者は、構築する情報システムに重要なセキュリティ要件があると認めた場合には、当該情報システムのセキュリティ機能の設計について第三者機関によるセキュリティ設計仕様書(ST:Security Target)のST 評価及びST 確認を受けること。ただし、情報システムを更改し、又は構築中に仕様変更が発生した場合であって、見直し後のセキュリティ設計仕様書において重要なセキュリティ要件の変更が軽微であると認めたときは、この限りでない。
解説:重要なセキュリティ要件がある情報システムについては、セキュリティ機能が確実に実装されることを目的として、ISO/IEC 15408 に基づきセキュリティ設計仕様書のST 評価及びST 確認を受けることを求める事項である。「ST 評価及びST 確認を受けること」とは、ST 評価及びST 確認がなされた状態になることを意味し、具体的な手続としては、申請と確認書入手がなされることである。情報システムの構築が終了するまでにセキュリティ設計仕様書について、ST 評価及びST 確認済みとなっている必要があるが、セキュリティ設計仕様が適切であると判断できた上で設計段階から作成段階に移るべきであることから、申請行為は設計段階のうちに行われていることが通常の手順である。なお、情報システムの構築を外部委託する場合には、契約時に条件として含め納品までにST 評価及びST 確認を受けさせることになる。
(引用:政府機関の情報セキュリティ対策のための統一管理基準 解説書)
(3)機器等の購入に係る規定の整備
(1) 機器等の購入に係る規定の整備
【基本遵守事項】
(b) 統括情報セキュリティ責任者は、機器等の購入において、セキュリティ機能の要求仕様があり、総合評価落札方式により購入を行う際には、IT セキュリティ評価及び認証制度による認証を取得しているかどうかを評価項目として活用することを選定基準として定めること。
解説:機器等の購入において、セキュリティ機能の要求仕様があり、総合評価落札方式により購入を行う際に、当該機能を有する製品の中でもISO/IEC 15408 に基づくIT セキュリティ評価及び認証制度による認証を取得している製品の優遇を選定基準の一つとすることを求める事項である。第三者による情報セキュリティ機能の客観的な評価のある製品を選定することによって、より信頼度の高い情報システムが構築できる。
(引用:政府機関の情報セキュリティ対策のための統一管理基準 解説書)
(4)ソフトウエア開発に係る規定の整備
(1) ソフトウェア開発に係る規定の整備
【基本遵守事項】
(ケ) 情報システムセキュリティ責任者は、開発するソフトウェアに重要なセキュリティ要件がある場合には、これを実現するセキュリティ機能の設計について第三者機関によるセキュリティ設計仕様書(ST:Security Target)のST 評価及びST 確認を受けること。ただし、当該ソフトウェアを要素として含む情報システムについてセキュリティ設計仕様書のST 評価及びST 確認を受ける場合、又はソフトウェアを更改し、若しくは開発中に仕様変更が発生した場合であって、見直し後のセキュリティ設計仕様書において重要なセキュリティ要件の変更が軽微であると認めたときは、この限りでない。
解説:重要なセキュリティ要件があるソフトウェアについては、セキュリティ機能が確実に実装されることを目的として、ISO/IEC 15408 に基づきセキュリティ設計仕様書のST 評価及びST 確認を行うことを求める事項である。「ST 評価及びST 確認を受けること」とは、ST 評価及びST 確認がなされた状態になることを意味し、具体的な手続としては、申請と確認書入手がなされることである。ソフトウェアの開発が終了するまでにセキュリティ設計仕様書について、ST 評価及びST 確認済みとなっている必要があるが、セキュリティ設計仕様が適切であると判断できた上で設計段階から作成段階に移るべきであることから、申請行為は設計段階のうちに行われていることが通常の手順である。なお、ソフトウェア開発を外部委託する場合には、契約時に条件として含め納品までにST 評価及びST 確認を受けさせることになる。
(引用:政府機関の情報セキュリティ対策のための統一管理基準 解説書)