経済産業省
文字サイズ変更
アクセシビリティ閲覧支援ツール

ITセキュリティ分野における国際相互承認アレンジメントが改正されました

本件の概要

 9月8日、「ITセキュリティ分野における国際相互承認に関するアレンジメント」(CCRA(Common Criteria Recognition Arrangement))が改正されました。
これにより、今後、新たに、IT製品の分野毎に、加盟国共通のセキュリティ基準及び共通の認証手順・方法を策定することになりました。
経済産業省では、IT製品の輸出促進の観点から、産業界やIPA((独)情報処理推進機構)とともに、我が国が競争力を持つ製品分野で基準の原案を策定するなど、国際的な基準作りをリードしてまいります。

 1.背景

近年、IT製品のセキュリティ上の欠陥を利用したサイバー攻撃により、情報漏洩等の事件が発生しております。また、IT製品に利用される部品は、製造過程で組織情報を盗み出す不正の通信機能が仕掛けられる懸念も増えるなど、システムの安全性が適切に設計された製品の調達が重要となっております。
こうした背景から、各国の政府調達において、IT機器のセキュリティ認証が重要視されるようになる一方、輸出相手国毎にIT機器のセキュリティ認証を取り直すコストをどのように削減するかが課題となりました。このため、平成12年より、「ITセキュリティ分野における国際相互承認に関するアレンジメント」(CCRA(Common Criteria Recognition Arrangement))が開始されました注1
注1 我が国においては、政府の調達基準を規定している「政府機関の情報セキュリティ対策のための統一基準」(情報セキュリティ政策会議決定)において、政府調達にあたっては本アレンジメントに基づいて認証されている製品のリストを参照することが規定されています。

2.国際相互承認アレンジメントの概要

「ITセキュリティ分野における国際相互承認に関するアレンジメント」は、国際的共通基準に基づいて認証されたIT製品について、加盟国間で、その認証を相互に受け入れ合う枠組みです。現在、26ヶ国が参加し注2、日本は平成15年10月から参加しています。
注2 26ヶ国の内訳

  •  自国も認証を行い、他加盟国間と相互に認証を受け入れる国(17ヶ国)

日本、米国、英国、ドイツ、フランス、カナダ、マレーシア、トルコ、イタリア、スウェーデン、スペイン、インド、韓国、ノルウェー、オランダ、ニュージーランド、オーストラリア

  • 自国では認証を行わず、他加盟国の認証を受け入れる国(9ヶ国)

フィンランド、ギリシャ、イスラエル、オーストリア、パキスタン、シンガポール、デンマーク、ハンガリー、チェコ
IT製品のセキュリティに関する認証を、アレンジメント加盟国のどのセキュリティ認証機関注3で取得しても、加盟国すべてにおいて当該認証が有効となります(相互承認されます)。対象となる認証は、国際標準ISO/IEC15408に基づく認証とされています。IT製品の分野毎に備えるべき脅威が異なるため、加盟国の提案により、製品分野毎のセキュリティ基準(Protection Profile)を設定できる仕組みになっています。
注3 認証機関の例
日本  : (独)情報処理推進機構(IPA)
米国  : 国家安全保障局(NSA)
ドイツ : 内務省連邦情報技術安全局(BSI)
フランス: 国防総事務局国家情報通信システム安全庁(ANSSI)
韓国  : 国家インテリジェンスサービスITセキュリティ認証センター(NISITSCC)
日本においては、IPA((独)情報処理推進機構)が日本のセキュリティ認証機関として認証を行っており、既に429件の認証実績となっています(加盟国中4位)。

3.今回の改正の背景・ポイント

アレンジメントの開始から10年以上が経過し、ネットワークを通じて様々な機器が遠隔操作できるようになるなど、IT利活用の高度化が進む中、想定される脅威もそれに従って高度化・多様化してきました。このため、加盟国各国が調達において異なるセキュリティ基準を設定するようになり、同一の製品分野であっても、複数のセキュリティ基準が乱立するようになりました。このため、輸出国に応じて、認証を取り直すことが必要になるといった問題が生じていました注4
注4 製品分野毎のセキュリティ要件に関する提案数の上位3ヶ国
米国:105件、独国:72件、仏国:47件
また、新たにアレンジメントに加盟した国々の認証機関による認証の質が、従来から参加している国の認証機関に比べて差があるといった、セキュリティ認証の質のばらつきの課題が明らかになりました。
こうした背景から、平成24年9月より加盟国間で議論がスタートし、今般、加盟国間で、製品分野毎のセキュリティ基準と認証の手順・方法を共通化することを目的とする、以下のアレンジメントの改正が発効しました。
① 新たに、IT製品分野毎の加盟国共通のセキュリティ基準を策定する
昨今、同一の製品分野であっても、複数のセキュリティ基準が乱立化する問題が起こりました。このため、今後は、新たに、各製品分野において、加盟国共通の唯一のセキュリティ基準(「collaborative Protection Profile」)が策定されます。
② ITセキュリティに係る認証の共通手順・方法の策定する
加盟国間のITセキュリティに係る認証の質を揃えるため、新たに、各製品分野において行うべき具体的な認証手順・方法を策定します。

4.今後の取組み

今後、上述の製品分野毎の共通セキュリティ基準や認証の共通手順・方法が、加盟国間で議論され策定されていきます。経済産業省では、IT製品の輸出促進の観点から、産業界やIPAとともに、我が国が競争力を持つデジタル複合機等の製品分野注5で基準の原案を策定するなど、国際的な基準作りをリードしてまいります。
注5 日本における認証429件中、約7割(316件)がデジタル複合機。その他、ICカード、ファイアウォール、不正侵入・防止システム、ネットワーク機器等の認証を実施。

担当

商務情報政策局情報セキュリティ政策室

公表日

平成26年9月10日(水)

発表資料

経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.