セキュリティ評価

 

ECSEC Labは、IT製品/システムとスマートカード(ICカード)関連デバイスの分野にて認定を受けた評価機関です。日本では実績の少ないICカード分野の評価を含め幅広い分野の評価 を多数手がけていることから、多くの技術ノウハウを蓄積しております。ぜひ、当社にご依頼ください。

ITセキュリティ評価とは

●ITセキュリティ評価では、IT製品のセキュリティ機能が適切、かつ確実に実現されていることを、基準(ISO/IEC 15408(CC))に基づいて検証を行います。

●ITセキュリティ評価は、独立行政法人製品評価技術基盤機構(NITE)認定センターが正式に認めた評価機関のみが実施できます。

●評価基準「ISO/IEC 15408(CC)」に基づいた評価を行います。

評価内容は、規定されたセキュリティ機能がどのようなものであるかや、どの保証レベルまで保証するかなどの諸条件によって異なります。

保証レベル(EAL)にはEAL1から最高位のEAL7までの7段階が設定されています。
・高い保証レベルになると低いレベルより多くの要求事項が追加されます。
・保証レベルが高くなると、より多くの保証要件を満たしていることを評価する必要があるため、それに応じた期間と費用が必要となります。
・一般に、IT製品/システムはEAL4までの保証レベル、EAL5以上はスマートカード(ICカード)関連デバイスなど特に保証が必要な製品や軍用などに使用されています。

評価基準の詳細については、以下をご参照ください。
CC(ISO/IEC 15408)概説(JISEC)

●評価の主な内容は、次のとおりです(EALにより異なります)。
・対象となるIT製品(TOE: Target of Evaluation)が保証するセキュリティ要件を規定したセキュリティ仕様書(ST:Securiy Target)が、適切であるかを検証する。
・TOEの仕様書とテストにて、STに記載されたセキュリティ要件が適切に実装されていることを確認する。
・マニュアルにTOEの消費者が実施しなければならない事項が適切に記述されていることを確認する(誤ってセキュアでない方法で使用しないこと)。
・TOEの開発環境や配付環境において改ざんや情報漏えいなどの対策が取られていることを確認する。

●保証レベル(EAL)と開発者に求められる評価用提供資料(デリバラブル)については、以下を参照ください。
詳しくはこちら

認証取得までの流れ

●お問合せから認証取得まで

認証取得までの流れの概要は以下の通りです。CC flow

 

 

 

 

 

 

Step1 お問い合せ
電子メール、お電話等でお気軽にお問い合せください。認証制度や認証取得についてご説明します。
認証取得についてさまざまな観点からアドバイスいたしますので、ご相談ください。

Step2 打合せ
打合せにて、認証の取得を希望するIT製品や保証レベル(EAL)などについてヒアリングさせていただきます。
その結果を元に工程見積りを行います。また、認証取得までのプロセス及び大まかなスケジュールを明確にします。

Step3 認証申請
当社との間で契約を締結した後に、開発者は認証機関に認証申請書を提出します。IPAが申請書を受理すると、評価作業を開始することができます。この時点までに、開発者は「評価用提供物件(デリバラブル)」を当社にご提供下さい。

Step4 評価・認証
当社は、ISO/IEC 15408の要求事項に基づき、セキュリティ内容が正確かつ有効にそのIT製品・システムに反映されているかどうかを評価します。IPAは、評価機関による評価結果が適正であることを検証します。
この間、提供いただいたSTや評価用提供物(デリバラブル)、評価対象となるIT製品に問題が見つかった場合、評価機関より、開発者に対して所見報告書という文書にて指摘事項が通知されます。開発者は指摘があった事項について、見直し・修正などを行います。

Step5 認証取得
IPAにより評価が適正と認証されると、開発者に「認証報告書」と「認証書」が交付されます。あわせて、認証済み製品リストが一般に公開されます。

より詳細な流れについては、以下をご参照ください。
「ISO/IEC15408に基づく認証取得」のための業務フロー

●申請方法
申請方法については、以下を参照ください。
JISEC(申請関連)

●セキュリティ評価に必要な資料

申請時に用意する必要がある資料は以下のとおりです。

・ST(セキュリティターゲット)
開発者が準備するセキュリティ仕様書です。すべての評価保証レベル(EAL)の評価に必要となります。

・評価用提供物(デリバラブル)
評価用提供物件(デリバラブル)は、評価保証レベル(EAL)に応じてご用意ください。仕様書などの設計開発文書、マニュアル、構成管理に関する文書などが、EALに応じて必要となります。
評価をスムーズに進めるためには、評価前にすべての資料が揃っていることが望ましいです。

・TOE(Target of Evaluation)
評価の対象となるIT製品です。

●評価期間と費用
認証取得にどれぐらいの費用と期間がかかるかは、さまざまな要素を考慮に入れる必要があるため、一概には言えません。たとえば、次のような要素によって費用と期間は大きく変動します。
・評価する製品の規模(守るべき資産の範囲あるいは製品のセキュリティ機能の複雑さ)
・目標とするセキュリティ評価保証レベル(EAL1〜EAL5)
・評価対象となるIT製品の状況(製品本体の開発状況や評価用提供資料の整備状況)

初めてITセキュリティ評価・認証を受ける場合であれば、社内体制構築の負荷を軽減するために認証取得コンサルティングを併用することもご検討ください。


  
 お問い合わせ

   評価又は試験のご依頼、ご質問、ご相談は、下記までお気軽にお問い合わせください。
   電子メールでの質問も受け付けています。

      ■電話      03-5259-8061
      ■電子メール   labinquiry@ecsec.jp