図1に示すように暗号モジュール認証件数は毎年急激に増加しています。2009年はやや減少しましたが2010年には230件程度に達しています。2011年は減少していますが、後で示すように暗号モジュール試験の前提となる暗号アルゴリズム試験の認証件数が2011年に急増しているので2012年には暗号モジュール試験の認証件数が増加することが予想されます。認証件数は累計では1650件を超えています。

図1　暗号モジュール認証件数（CMVP）

　　暗号モジュール試験は4つのモジュールタイプがありますが、認証件数累計ではハードウエア68%、ソフトウエア29％、ファームウエア3％、ハイブリッド0.3％となっています。図2と図3にハードウエアとソフトウエアの暗号モジュール認証件数を示します。ソフトウエア、ハードウエアとも多少の増減がありますが毎年増大しています。暗号モジュール試験は試験の内容によってlevel1からlevel4に分類されていますが、ソフトウエアはlevel1が多く全体の約88％になります。ハードウエアはlevel2が全体の約59％、level3が約27％となっています。

図2　ソフトウエアの暗号モジュール認証件数（CMVP）

図3　ハードウエアの暗号モジュール認証件数（CMVP）

　　図４に申請者の国別の暗号モジュール認証件数を示しますが、米国企業の認証件数が最多で約82％、カナダ企業の認証件数が約6％となっています。米国とカナダはCMVP／CAVPを共同運営しているので合わせて約87％と大半を占めています。その他の国ではフランス、イスラエルなどが続いていて合計でおよそ13％となっています。日本企業の申請件数は累計20件弱で全体の約1％です。

図4　申請者の国別の暗号モジュール認証件数（CMVP）

　　図5に申請者別の暗号モジュール認証件数を示しますが（企業名は略称、以下同様）、20件以上認証取得した企業は13社ありこれらの認証総計は全体の約40％となっています。このうちSafeNet、Cisco、nCipherは100件程度の認証件数になっています。申請企業の総数は360社以上ですので、少数の企業が多くの認証を取得している一方で多数の企業がこの制度で認証を得ていることになります。

図5　申請者別の暗号モジュール認証件数（CMVP）

  暗号アルゴリズム試験は暗号モジュールに含まれる暗号アルゴリズムの機能を試験するものです。一つの暗号モジュールには複数の暗号アルゴリズムが含まれることが多いので暗号アルゴリズム認証件数は暗号モジュール認証件数の数倍になります。図6に示すように暗号アルゴリズム認証件数は毎年増大しており、ここ数年では毎年1000件以上になり2011年は1900件近くになっています。累計では9400件を超えています。図7に2011年の暗号アルゴリズム別のCAVP認証件数割合を示しますが、多い方からAES、SHS、HMAC、RSA、TripleDES、RNG、DSA、DRBG、ECDSA、KASの順になっています。

図6　暗号アルゴリズム認証件数（CAVP）

図7　2011年のセキュリティ機能別の暗号アルゴリズム認証件数割合（CAVP）

≪参照≫

関連サイト

• CMVP：Cryptographic Module Validation Program
• CAVP：Cryptographic Algorithm Validation Program
• JCMVP：Japan Cryptographic Module Validation Program

ITSCの解説とパンフレット

• 暗号試験（米国スキーム）
• 暗号試験（日本スキーム）
• 暗号モジュール/暗号アルゴリズム試験パンフレット（pdfファイル）
• 暗号モジュール/暗号アルゴリズム試験パンフレット（英語版）(pdfファイル)

ITSCコラム

• 北米暗号試験認証製品の集計

  情報基盤強化税制は対象となる企業が個別に減税申告をするものなので、この税制による情報基盤整備状況と減税対象CC認証製品の普及度は把握しにくい面がありますが、平成２３年１０月に経済産業省から公表された「平成２２年情報処理実態調査報告書」(以下「実態調査報告書」と呼ぶ)の中に情報基盤強化税制に関する調査結果が記載されており、普及の概要を知ることができます。

表１ 情報基盤強化税制に関する変遷

  実態調査報告書は平成２１年度の実績ですので表1の「２．２）全ての企業が対象」となる調査結果です。調査に回答した企業4,599社のうち情報基盤強化税制を利用した企業は157社となっています。図1に資本金別の利用額と利用した企業数、図2に1社当たりの資本金別の利用額を示します。ここで利用額とは減税方法の選択により控除、繰越、特別償却を含めた合計額になっています。情報基盤強化税制全体の利用金額ではありませんが、調査結果の利用総額は108億3300万円になっています。このうち資本金100億円以上の企業の利用実績は77億2300万円であり、利用総額の71％となっていてこの調査では大企業の利用が多かったことがわかります。1社当たりの利用額では資本金100億円以上の大企業ではおよそ1億4000万円になっていますが、資本金５億円以下の企業でも1社当たり数百万円の利用がありIT投資の中ではそれなりの効果があったものと推測されます。

図1　情報基盤強化税制の利用額(合計)（経済産業省「平成２２年情報処理実態調査」データを用いてITSCが作成）　

図2　情報基盤強化税制の利用額(1社当たり) （経済産業省「平成２２年情報処理実態調査」データを用いてITSCが作成）

  図3は情報基盤強化税制の利用によるIT投資の増加を調べたもので、“情報基盤強化税制は、貴社のIT投資をどの程度増加させた（または今後増加させる）と思いますか？”という調査設問に対する回答結果です。0～5％とあまり利用していないと回答した企業が78％と大半を占めていますが、10％程度以上の利用があった企業が10％ほどあります。また、図4は情報基盤強化税制がIT投資活動に与える影響を調査したもので、“情報基盤強化税制の利用により、貴社の投資活動にはどのような影響が出たと思いますか？（複数回答可）”という調査設問に対する回答結果です。図４に記載されているように「戦略的IT投資」、「IT投資の進捗を早める」、「高機能なシステム導入」を合計して約34％の企業が減税された資金をITに投資したと回答していますので、情報基盤整備は一定の効果をあげていると推測できます。

このように情報基盤強化税制により情報基盤整備は進んでいると考えられますが、セキュリティ対策の普及についてはここでは明確な結果は得られていないようです。情報基盤整備とともにITセキュリティの基盤であるCC認証製品の普及が望まれるところです。

図3　情報基盤強化税制によるIT投資拡大効果の大きさ（経済産業省「平成２２年情報処理実態調査」データを用いてITSCが作成）

図4　情報基盤強化税制がIT投資活動に与える影響（経済産業省「平成２２年情報処理実態調査」データを用いてITSCが作成）

≪参照≫

経済産業省

• ITに関する税制
• 情報処理実態調査
• 平成２２年情報処理実態調査報告書の概要(pdfファイル）
• 産業競争力のための中小企業情報基盤強化税制(pdfファイル）

国税庁

• 情報基盤強化設備等の範囲について

情報処理推進機構

• 中小企業情報基盤強化税制について
• ITセキュリティ評価及び認証制度（JISEC）

  認証件数は2011年12月現在で累計51件です。図1のように2005年以来毎年ほぼ10件程度の認証がありますが2009年と2011年は少なくなっています。PP(Protection Profile)の認証件数が累計36件に達しており、日本でのPP認証件数が2件であるのと対照的です。PPはAnti-spam、Biometrics、ePassport、FW、IDS、IPS等々多岐にわたっています。PP適合の認証案件数も累計9件になっていますが、このうち韓国で認証されたPPによる適合認証は7件です。

図1 韓国の認証件数

  図2に製品種別ごとの認証件数を示しますが、IPS、MFP、e-Passport等が目立ちます。日本で認証件数が多いMFP（韓国の分類ではDigital Multifunction PrinterおよびMultifunction Printer）は9件ありますがこのうち8件は2010年にSamsungが取得したものです。IPSはLG、NOWCOMなど6社が、e-Passport はLG、Samsungなど4社が取得しています。

図2 製品種別ごとの認証件数

  図3に申請者別の認証件数を示します。14企業が認証を取得していますが、Samsungが最多で17件です。SamsungはDigital Multifunction Printerを始めとしてスマートカードやファイアウォール等様々な製品で認証を取得しています。

図3 申請者別の認証件数

≪参照≫

IT Security Certification Center（ITSCC）

　　第1は「情報セキュリティの対策状況（ISO/IEC15408認証取得製品の導入）」として経済産業省の情報処理実態調査結果報告書（以下METI報告書）から対策実施状況とセキュリティ向上への寄与が引用されています。METI報告書は統計法に基づいて1969年以来毎年実施されているもので、経済産業省企業活動基本調査をサンプル抽出の母集団としていますが、サンプル数が不十分な業種については、株式会社帝国データバンクから得たデータにより補完しています。調査項目は、IT投資効果を左右する要因の状況、情報基盤強化税制の利用状況、情報セキュリティの状況等です。

　　ISO/IEC15408 認証取得製品の導入に関する回答企業数は4000社以上です。NISC報告書では平成20年度と21年度の調査結果が引用されていますがMETI報告書の平成22年度分も含めて表1と表2に整理しました。このうち平成22年度の結果を図1に示します。表1に示すようにISO/IEC15408 認証取得製品を導入している企業は調査対象約4000社のうち400社程度で毎年若干の変動がありますがおよそ10％程度です。資本金100億円超企業ではその割合はおよそ25％程度とかなり増加しています。また図1に見るように全体の半数以上の企業が導入を検討中或いは必要性を感じているとの回答をしています。

表１　ISO/IEC15408認証取得製品の導入企業
（NISC報告書とMETI報告書をもとにITSCにて作成）

図1　ISO/IEC15408認証取得製品の導入
（左図：全企業、右図：資本金100億円超企業、平成22年度NISC報告書とMETI報告書をもとにITSCにて作成）

  次に表1でISO/IEC15408 認証取得製品の導入を“既に実施している”と回答した400社余りの企業に対してセキュリティ向上への寄与について尋ねています。表2に示すように250社以上、60～70％程度がセキュリティ向上に寄与したと回答しています。資本金100億円超企業では70～80％程度がセキュリティ向上に寄与したと回答しています。

表２　セキュリティ向上への寄与
（原則として表1で“既に実施している”と回答した企業の回答、NISC報告書とMETI報告書をもとにITSCにて作成）

　　NISC報告書の2件の調査結果のうちの第２は、情報処理推進機構の「情報セキュリティ製品の調達に関する意識調査」（以下IPA報告書）から「ISO/IEC15408に関する意識・実態」としてISO/IEC15408の認知度とISO/IEC15408認証製品の利用実績が引用されています。IPA報告書は「ＩＴセキュリティ評価及び認証制度のより効果的な普及活動等を実施するため、本制度や本制度を政策的に後押ししている税制措置に対するユーザ企業等の認識や活用実態を明らかにすることを目的」（IPA報告書）としてウェブによるアンケート調査を行い、500件余りの有効回答を得たものです。表３と表４に調査結果を示しますがISO/IEC1540認証製品の認知度は名前だけ知っているものを含めても３０％程度であり、利用実績は５％ですのでMETI報告書と比べて低いように見受けられます。IPA報告書はMETI報告書と比較して回答数がかなり異なることや調査方法も異なるためにこのような結果になったものと思われます。

表３　ISO/IEC15408（CC：コモンクライテリア）の認知度 （2010 年度、回答数 545）

表４　ISO/IEC15408（CC：コモンクライテリア）認証製品の利用実績
(2010年度、答数 161、表３で“内容を含めよく知っている”、“イメージはだいたい知っている”及び“名前だけ知っている”と解答した人への質問と回答）

≪参照≫

NISC

• 内閣官房情報セキュリティセンター（NISC）
• 国民を守る情報セキュリティ戦略(pdfファイル)
• 情報セキュリティ2010(pdfファイル)
• 情報セキュリティ2011(pdfファイル)

NISC報告書

• 情報セキュリティ政策の評価等の実施方針(pdfファイル)
• 2010年度の情報セキュリティ政策の評価等(pdfファイル)

METI報告書

• 平成22年情報処理実態調査の結果について（平成23年10月25日） (pdfファイル)
• 平成22年情報処理実態調査結果報告書の概要（平成23年10月25日） (pdfファイル)
• 平成22年情報処理実態調査結果報告書（平成23年10月25日） (pdfファイル)
• 情報処理実態調査
• 情報処理実態調査　平成22年調査関係資料
• 情報処理実態調査　平成21年調査関係資料
• 情報処理実態調査　平成20年調査関係資料
• 経済産業省企業活動基本調査

IPA報告書

• 2010年度　情報セキュリティ製品の調達に関する意識調査　報告書（2011年2月） (pdfファイル)