IPA、ITセキュリティ評価および認証制度の新規格「CC V3.1」を運用開始
ITセキュリティ評価及び認証制度における新規格による運用開始について
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、2006年10月5日から、「ITセキュリティ評価及び認証制度」の新規格である「Common Criteria Vresion3.1(以下CC V3.1)」による認証・ST確認申請受付を開始し、IPAセキュリティセンターのWebサイト上に公開しました。
公開URL http://www.ipa.go.jp/security/jisec/index.html
IPAでは、従来から、情報セキュリティの国際標準(ISO/IEC15408)に基づいて、情報技術に関連した製品やシステムが適切に設計され、正しく実装されているかどうかを、第三者が評価し、結果を公的に認証する「ITセキュリティ評価及び認証制度(以下本制度)」を運営しています。ISO/IEC15408は、国際相互承認アレンジメントCCRA(Common Criteria Recognition Arrangement)の枠組みで開発されたセキュリティ評価基準CC(Common Criteria)バージョン2.3が基になっています。
この度、CCRAは、最新バージョンであるCC V3.1を開発・採択し、9月19日に公開しました。これを受け、本制度でもCCの最新バージョンを規格として正式採用することに決定いたしました。
新バージョンの特徴としては、前バージョン(CC V2.3)に比較して分かりやすさの向上と、評価・認証作業の明確化・効率化を目指したものになっており、製品によっては評価認証期間の短縮や開発者及び評価者の作業効率化・負担軽減が期待できます。
またCC V3.1の正式採用に伴い2008年4月より新規評価認証はすべてCC V3.1にて行われることになります。
【 主な特徴 】
○開発者及び評価者の作業効率化・負荷軽減
○認証済製品を含む複数の製品で構成される統合製品の評価・認証が短期間で可能
○CCを意識しないで設計された既存製品の認証取得の容易化
○高レベルな保証レベルの規格化
(参考)
ITセキュリティ評価及び認証制度 認証製品リスト
http://www.ipa.go.jp/security/jisec/cert_list200504.html
■詳細については以下のPDFファイルをご参照ください。
http://www.ipa.go.jp/about/press/pdf/061005Press.pdf
ST:セキュリティターゲット。セキュリティ設計仕様書とも呼ぶ。セキュリティ目標を定めるために、セキュリティの要件及び仕様を記述した文書。
CCRA:情報セキュリティの評価・認証結果を加盟国間で利用できる国際的な相互承認体制。加盟国は、オーストラリア、カナダ、フランス、ドイツ、日本、韓国、オランダ、スペイン、イギリス、アメリカ等24カ国(2006年9月現在)
CC:CCRAにて公開されるITセキュリティ評価基準の国際規格