コンサルティング

 

ECSEC Labでは、ITセキュリティ認証取得のためのコンサルティングサービスを提供しております。ECSEC Labにはあらゆる分野にわたる数多くの評価実績 やコンサルティング実績があります。蓄積されたノウハウと経験を生かし、初めて認証取得をめざすお客様にも懇切丁寧にサポートいたします。

サービスメニュー

● 包括コンサルティング
評価のスタートから最終フェーズまでをフルサポートいたします。以下のような事項をサポートします。
・評価対象となるIT製品のセキュリティ要件及び仕様を記述したセキュリティ仕様書(ST:Securiy Target)の作成支援
・保証クラスごとに評価に必要となる評価用提供物件(デリバラブル)の作成支援
・評価中の対応支援(評価担当者からの指摘事項への対応支援)

●ST(Securiy Target)作成支援
評価時には評価対象となるIT製品のセキュリティ要件及び仕様を記述した文書セキュリティ仕様書であるSTを作成する必要があります。STは、基準(ISO/IEC 15408(CC))に基づいて作成する必要があるため、一般的にはあまりなじみがない文書であり、書きこなせるようになるまでは相応の習熟が必要となります。
当社では、ST作成を支援するサービスを行っています。必要に応じて、開発者からの情報を元に、当社でST作成を請け負うことも可能です。

●ST(Securiy Target)のプレ評価
開発者が作成したSTが、認証機関(IPA)に認証申請し、評価をスタートするに堪えうる品質かどうかを事前に検証するサービスです。
具体的には実際の評価と同様の手順の検証を行い、要求事項が網羅されているかを確認します。

●評価用提供物件(デリバラブル)作成支援
評価に必要となる評価用提供物件(デリバラブル)の作成をサポートします。評価のために必要な評価用提供物件(デリバラブル)は評価保証レベル(EAL)に応じて異なります。保証レベルに応じた評価用提供物件全体またはご要望のある評価用提供物件の作成についてサポートします。また、開発者が作成した評価用提供物件が評価に適しているかのチェックを行うことも可能です。

●評価中の開発者対応支援
TOE自体や評価用提供物件に問題が見つかった場合、評価担当者から所見報告書という文書が発行されます。所見報告書が発行されるとその内容について開発者の対応が必要となります。発行された所見報告書の内容を解説するとともに、評価用提供物件の修正内容のご相談に応じます。

●PP(Protection Profile)作成
PPは、特定のIT製品の分野に関して、求めるセキュリティ要件、想定される運用環境などを示したセキュリティ要求仕様書です。製品の調達者がIT製品を調達する際に、ベンダーに対して発行します。このセキュリティ要求仕様書を製品調達者に代わって作成します。

ご用意いただきたい事項

ご相談いただく際には、評価対象のIT製品の概要が理解できるような資料をご用意ください。
実際にコンサルティングを行う場合には、以下のようなご準備をお願いいたします。提供するサービス内容により、ご準備いただく事項は異なります。

・必要に応じて仕様書などの設計開発文書、マニュアル、構成管理に関する文書などのご提供をお願いします。
・評価用提供物件(デリバラブル)作成支援において、開発や配付のプロセスに関わる文書の作成が含まれる場合には、関連する施設の立ち入りをお願いする場合があります。

期間と費用

どれぐらいの期間と費用がかかるかは、さまざまな要素を考慮に入れる必要があるため、一概には言えません。たとえば、次のような要素によって期間と費用は大きく変動します。

・評価する製品の規模(守るべき資産の範囲あるいは製品のセキュリティ機能の複雑さ)
・目標とするセキュリティ評価保証レベル(EAL1〜EAL5)

※ コンサルティングサービスは、開発者の認証取得のための各種作業(デリバラブル作成等)をサポートするものであり、当社が認証取得を保証するものでありません。


  
 お問い合わせ

   評価又は試験のご依頼、ご質問、ご相談は、下記までお気軽にお問い合わせください。
   電子メールでの質問も受け付けています。

      ■電話      03-5259-8061
      ■電子メール   labinquiry@ecsec.jp