ベンダーの言葉だけでない裏付けを、IPAが暗号モジュールの第三者認証制度

IPAは4月より、ソフトウェアやICカード、ルータなどを対象に、セキュリティ機能が適切に実装されているかどうかを試験する「暗号モジュール評価・試験制度」（JCMVP）を開始する。

[高橋睦美，ITmedia]

　情報処理推進機構（IPA）は4月より、ソフトウェアやICカード、ルータなどを対象に、暗号化や署名といったセキュリティ機能が適切に実装されているかどうかを確認し、試験を通過した製品に認証を与える「暗号モジュール評価・試験制度」（JCMVP）を正式に開始する予定だ。

　この制度が対象とするのは、ソフトウェアやICカード、PCIカード、USBメモリやVPNルータなど、暗号化機能を備えた製品だ。

　まず試験機関が、ベンダーからの申請に基づき、RSAやAES、SHA-1といった「電子政府推奨暗号リスト」に載せられている暗号アルゴリズムが正しく実装されているかどうか、また暗号鍵やID、パスワードといった重要な情報のセキュリティが確保されているかを試験する。検査は、仕様やポート、インタフェースのほか、物理的セキュリティや鍵管理といった分野が対象で、任意の項目ながら電磁妨害なども含まれている。これをクリアした製品には、認証機関となるIPAから認証が与えられる。

　同様の枠組みは米国およびカナダで、NISTの標準「FIPS 140-2」に基づいて実施されてきた。JCMVPは、この標準を国際規格化したISO/IEC 19790に基づいた、暗号モジュールに特化した認証制度となる。同様の第三者認証制度としてIPAが実施中の「ITセキュリティ評価及び認証制度」を補完する制度という位置付けだ。

　IPA理事長の藤原武平太氏は、（暗号モジュールが本当に大丈夫なのかという不安が）「セキュリティ機能を持ったいろいろな機器のマーケティング時の障害になってきた」と述べた。

IPA理事長の藤原武平太氏

　「暗号アルゴリズムは外からは見えない。それが『本当に入っている』ということをどう証明するかが課題だ。いくらベンダーが大丈夫といっても、ユーザーからすれば不安が残るし、だからといって自ら試すには専門的知識とコストが必要」（IPA理事の仲田雄作氏）

　IPAではJCMVPを通じてその部分を代替することで、ベンダーが製品の安全性確保をアピールできるようにする。試験を通過した製品には認証書が発行されるほか、JVMVP通過を示すマークをはることが可能になる。また、JCMVP認証製品は、「政府機関の情報セキュリティ対策のための統一基準」で示されている調達条件にかなうものと認められる。

　当初はIPAが認証機関だけでなく試験機関としての役割も果たすが、2007年後半には、NITE（製品評価技術基盤機構）の認定を受けた民間企業に試験機関としての業務を開始してもらう予定だ。

　JCMVPの認証には、セキュリティレベルに応じて1〜4まで4つのレベルがあり、認証費用はレベル1が26万2500円、レベル4は73万5000円など。試験費用は実費相当となり、数百万円程度を想定している。試験に要する期間は2〜3カ月程度。IPAでは初年度数件程度の認証を見込んでいる。

誰でも使えるツール群の充実も

　IPAはほかにも、ソフトウェア開発支援を目的としたツール群を積極的に公開、提供していく方針だ。「個別企業への支援を縮小し、代わりに、より公共的に利用できるツールやデータベースに注力していく」（仲田氏）

　既にオープンソースソフトウェア関連情報を提供するデータベース「OSS iPedia」のほか、自社のセキュリティ対策状況を把握できる「情報セキュリティ対策ベンチマーク」といったツールを提供済みだ。2007年度はさらに、ソフトウェア開発プロジェクトの作業状況を可視化する「EPMツール」や定量データに基づく「プロジェクト診断ツール」などを提供する計画という。

　セキュリティ関連では、新種のウイルスを自動的に解析する「Zero-Hour-Analysisツール」を開発し、その結果をウイルス情報データベースに載せることで、迅速な情報提供を目指す。さらに、バイオメトリクス製品情報をまとめたデータベースを3月をめどに公開するほか、セキュリティに詳しくない人でも、環境に応じたセキュリティ要件を検討できるよう支援するツールの提供も予定している。

　さらに、東京証券取引所におけるシステム障害などの事故を背景に、ソフトウェアの信頼性をチェックするためのベンチマーク作りも進める。約100項目ほどのチェックリストの形で、3月ごろをめどにまとめる計画だ。