ITセキュリティセンター コラムを掲載しました http://www.itsc.or.jp/topics/ クラウド・コンピューティングのセキュリティを掲載しました。]]> クラウド・コンピューティングのセキュリティ http://www.itsc.or.jp/   クラウド・コンピューティングのセキュリティに関する動きが活発になっていますのでいくつかのトピックスをご紹介します。クラウド・コンピューティングを支える製品の多くは、ITセキュリティセンターの業務である、ITセキュリティ評価や暗号試験を行う対象ですので、これらの認証製品がクラウド時代のセキュリティ基盤を担保することになります。

◇◆政府の政策方針が決定されました

  2010年7月22日に情報セキュリティ政策会議が「情報セキュリティ2010」を公表しましたが、「クラウド・コンピューティング化に対応した情報セキュリティ確保方策、標準化」のなかで

  • クラウド・コンピューティングを利用したサービスを構築・運用・利用するための情報セキュリティ要件に関するガイドライン、
  • クラウド・コンピューティング技術の適用が見込まれる分野ごとの情報の取扱い等に関するガイドライン
    等を検討、策定する

として以下のような具体的な施策を明記しています。

  • クラウド化に対応した情報セキュリティ確保方策の検討(担当:内閣官房、総務省及び経済産業省)
  • クラウド・コンピューティングのセキュリティ(担当:経済産業省)
  • クラウド・サービス・レベルのチェックリストの策定(担当:経済産業省)
  • クラウドサービスを支える高信頼・省電力ネットワーク制御技術の研究開発(担当:総務省)

  なお「情報セキュリティ2010」は2010年5月11日情報セキュリティ政策会議で決定された4カ年計画である「国民を守る情報セキュリティ戦略」の年度計画として位置づけられ、2010年度及び2011年度に実施する具体的な取組み記載したものです。

◇◆世界的な活動が活発になり連携も進んでいます

  米国ではNIST(National Institute of Standards and Technology)のほかにCSA(Cloud Security Alliance)が活動しています。CSAはクラウドセキュリティ整備を目指して米国3社(PGP、Qualys、Zscaler)が設立憲章会社(Founding Charter Companies)になり2009年に設立された民間組織であり、すでに図1のセキュリティガイダンスを発信しています。6月7日にはIPA(独立行政法人情報処理推進機構)がCSAと相互協力協定を締結しました(プレスリリース)。

  ヨーロッパではENISA(European Network and Information Security Agency)が図2のクラウドに関するリスクアセスメントを公表しています。

 CSAのセキュリティガイダンスV2.1

図1CSAのセキュリティガイダンスV2.1

ENISAのクラウド・コンピューティングのリスクアセスメント

図2 ENISAのクラウド・コンピューティングのリスクアセスメント

◇◆クラウドを支える技術のセキュリティ要素の研究も進んでいます

  2010年3月24日にIPAが発表した「クラウド・コンピューティング社会の基盤に関する研究会 報告書」ではクラウドに関する全般的な調査と分析がなされていますが、クラウドを支える技術の一つにセキュリティがあげられ、

  1. 隔離技術(データや処理を混在させない)
  2. データ保全(データの消去、漏洩、消去の防止)
  3. 仮想化技術の脆弱性(ゲストOSの安全性確保)
  4. ログ管理技術
  5. ユーザ認証
  6. 機器認証
  7. ガイドライン、認証制度
  8. クラウドによる情報処理に内在する制約(タイムラグのない厳密さを求めない処理など)

があげられています。

≪参照≫

]]> コラムを掲載しました http://www.itsc.or.jp/topics/ 脆弱性情報の管理_CVE識別番号を掲載しました。]]> 脆弱性情報の管理_CVE識別番号 http://www.itsc.or.jp/   ITセキュリティセンターの業務であるITセキュリティ評価のうち脆弱性評定(AVAクラス)では“公知の情報を利用して、潜在的な脆弱性を探索”することが求められています。公知の脆弱性情報のひとつとしてCVE(Common Vulnerabilities and Exposures)識別番号で規定された脆弱性情報を利用することがあります。

  CVE識別番号は、公開された脆弱性情報の同一性を確認するために米国のMITRE社(米国政府向けの技術支援や研究開発を行う非営利組織)が管理運営するものです。脆弱性情報に一意の識別番号を付与することにより脆弱性対策情報の関連性や相互参照が容易になり広く利用されています。

  図1のようにCVE識別番号管理サイトの情報提供画面を見れば必要な脆弱性情報が容易に入手できます。またここからNISTのNVD(National Vulnerability Database)ページ(図2)を参照することもできます。

CVE識別番号管理サイトの情報提供画面

図1 CVE識別番号管理サイトの情報提供画面(CVE-2010-1000の例

NISTのNVDページ画面

図2 NISTのNVDページ画面(CVE-2010-1000の例

  CVE識別番号はMITRE社のほかMITRE社が認定した採番機関CNA(CVE Numbering Authority)で発行されています。CNAは現在までに米国大手ソフトウエアベンダーなどが認定されていますが、2010年6月24日付一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)のプレスリリースによるとJPCERT/CCはMITRE社からCNAに認定されました。JPCERT/CCがCNAに認定されたのは第三者調整機関としては米国のCERT/CCに続くものです。

  JPCERT/CCがCNA に認定されたことにより以下の利便性が図られるようになるとともに、日本発の脆弱性情報を世界へ発信する脆弱性ポータルサイトになるとのことです。

  • 国内のパートナーシップや海外から報告された脆弱性関連情報に自らの判断でCVE 番号を付与できるようになります。
  • より一貫したCVE との整合性が確保されることになります。

≪参照≫

]]> フランスのCC認証製品の集計 http://www.itsc.or.jp/   フランスのITセキュリティ認証制度はDCSSI(Central Information Systems Security Division:Direction centrale de la sécurité des systèmes d'information)で実施されています。DCSSIのホームページには認証製品リストとPP(プロテクション・プロファイル)リストが公表されています。ここでは2010年5月13日時点でDCSSIサイトに掲載された2009年までのデータを用いてフランスのCC認証製品についてご紹介します。

フランスの認証製品

図1 フランスの認証製品

  図1のように認証件数は2009年末時点で累計199件です。毎年漸増しています。図では示していませんが累計でEAL1(EAL1+を含む、以下同様)が18件、EAL2が12件、EAL3が6件、EAL4が129件、EAL5が34件となっており、EAL4とEAL5が全認証件数の82%になっています。PP適合は累計142件で全体のおよそ71%になっています。

フランスの認証製品の分類

図2 フランスの認証製品の分類

  図2に製品分類別の認証件数を示します。スマートカード94件(うちPP適合66件)でIC78件(うちPP適合70件)、合計で172件(うちPP適合は136件で79%)となりスマートカード関連で全体の86%を占めています。

フランスの申請者別認証件数

図3 フランスの申請者別認証件数

  図3では認証件数の多い申請者を示していますが、上位7位までで67%を占めています。いずれもスマートカード関連の企業です。申請者の総数は38で米国やドイツと比べると少なくなっています。このようにフランスの認証製品はPPに適合したEAL4、EAL5のスマートカードに関するものが目立ちます。

≪参照≫

]]> コラムを掲載しました http://www.itsc.or.jp/topics/ フランスのCC認証製品の集計を掲載しました。]]> コラムを掲載しました http://www.itsc.or.jp/topics/ 暗号の特許を掲載しました。]]> 暗号の特許 http://www.itsc.or.jp/   平成22年4月付けで特許庁から「平成21年度特許出願技術動向調査報告書 暗号技術(要約版)」が公開されています。ここではこの報告書を引用して暗号の特許についてご紹介します。

  この報告書は暗号の特許出願動向調査を用いて日本と海外の暗号の研究開発動向や市場環境を比較するものです。調査対象期間は2001年から2007年までで、内外の特許検索ツールを用いて日本、米国、欧州、中国、韓国、その他に分類して調査しています。暗号技術は表1のように区分していて1件の特許文献に対して複数の区分に属することを可としています。

表1 暗号技術の分類

大分類 中分類
暗号プリミティブ 共通鍵暗号、公開鍵暗号、ハッシュ関数など
暗号利用基礎プロトコル 秘匿、署名、認証など
暗号利用応用プロトコル 個人情報管理、コンテンツ保護など
実装技術 実装技術(ソフトウェア/ハードウェア実装)、対実装攻撃対策(耐タンパ技術、サイドチャネル攻撃対策など)
パーツ(構成要素) 量子暗号、楕円曲線演算、ペアリング

暗号特許の累計件数

図1暗号特許の累計件数
(出所:特許庁「平成21年度特許出願技術動向調査報告書 暗号技術(要約版)」)

  図1に出願先国別の累計(2001年から2007年まで)出願件数を出願人国籍別に表したグラフを示します。出願人国籍別では米国と日本は約35%でほぼ同じですが、近年は中国と韓国の伸びが大きいようです。次に自国への出願割合(図1の出願人国籍別の件数の和に対する対角上の件数)を見ると日本が最も多く約83%になっており、日本では自国で開発した技術を主に自国で特許出願している様子がわかります。また日本から他の地域に出願した件数に比べて他の地域から日本に出願された件数は少なく(図1の1行目と1列目の比較)出願収支は大幅なプラスになっています。逆に中国はマイナスになっており、各国が中国に対して特許を出願することにより将来的な市場および製造販売拠点として活動していることがわかります。

暗号実装技術の特許出願件数

図2暗号実装技術の特許出願件数
(出所:特許庁「平成21年度特許出願技術動向調査報告書 暗号技術(要約版)」)

  ITセキュリティセンターが実施している暗号試験は表1の特許出願の分類では実装技術に係るものが重要になります。図2の暗号実装技術の累計出願件数を見ると米国が約47%と大半を占め、日本は約17%に過ぎません。これは米国で暗号試験が盛んであることと密接に関係していると推測できます。

≪参考≫

]]> コラムを掲載しました http://www.itsc.or.jp/topics/ ドイツのCC認証製品の集計を掲載しました。]]> ドイツのCC認証製品の集計 http://www.itsc.or.jp/   ドイツのITセキュリティ認証制度はBSI(Bundesamt für Sicherheit in der Informationstechnik)で実施されています。BSIのホームページには認証製品リストとPP(プロテクション・プロファイル)リストが公表されています。ここでは2010年4月22日時点でBSIサイトに掲載された2009年までのデータを用いてドイツのCC認証製品についてご紹介します。

  図1のように認証件数は2009年末時点で累計322件です。2008年が最高の66件で、2009年はやや減少して55件になっています。図では示していませんが累計でEAL1(EAL1+を含む、以下同様)が10件、EAL2が19件、EAL3が56件、EAL4が156件、EAL5が81件となっており、EAL4とEAL5が全認証件数の74%になっています。

  PP適合は累計185件で全体のおよそ57%になっています。PP適合のうち91件がBSI-PP-0002-2001に適合しています。このPPは2001年にICチップメーカー5社が認証を取得したスマートカード用OSのものです。

ドイツBSIの認証件数

図1 ドイツBSIの認証件数

  図2に製品分類別の認証件数を示します。スマートカードはO/S、アプリケーション、カードリーダー、ヘルスカードに分類されていますが合計164件で認証製品の51%を占めています。このうちPP適合は138件でスマートカードの84%になっています。これらは全てEAL4あるいはEAL5です。

ドイツBSIの認証製品分類別の認証件数

図2 ドイツBSIの認証製品分類別の認証件数

  図3では認証件数の多い申請者を示していますが、IBMが最多で50件、以下Infineon、Philipsで上位15社までで239件となり全認証件数の74%を占めていますが、申請者の総数は69であり、多くの申請者が認証取得していることになります。1位のIBMはメインフレームやOS(Red HatやSUSEのスポンサーになっている場合も含めています)などの分野で取得しており、2位から5位は主にスマートカードで認証取得しています。

  このようにドイツの認証製品の特徴は特定のPPに適合したEAL4、EAL5のスマートカードに関するものが目立ちますが、一方では多くの申請者が様々な種類の製品で認証取得していることもわかります。

ドイツBSIの申請者別の認証件数

図3 ドイツBSIの申請者別の認証件数

≪参照≫

]]>