「中堅・中小システムインテグレータも、セキュリティ認証のISO/IEC 15408とは無縁でいられない。官公庁のシステムを請け負っている企業は早急な対策が必要だ」。こう語るのは、情報処理推進機構(IPA)セキュリティセンターの竹内斎之郎研究員である。ISO/IEC 15408認証とは、IT製品やシステムの国際的なセキュリティ評価・認証制度のこと。国際的な相互認証機関があり、日本ではIPAが認証機関を務める「ITセキュリティ評価・認証制度」が該当する。

 IPAは2月21日、ISO 15408に対する国内メーカー、システムインテグレータの需要増に対処するため、IPA内の体制を強化することを表明した。背景には、昨年12月、政府機関が情報システムを調達する際に必要なセキュリティ対策の統一基準「政府機関統一基準」が策定されたことがある。これにより、政府機関が情報システムを構築したり、ソフトを開発する際には、設計段階でISO 15408に基づいたITセキュリティ評価を受け、IPAからお墨付きをもらう必要が出てきた。

 製品ごとの調達であればISO 15408認証を受けていれば問題ないが、ソリューションもしくはソフト開発の場合は個別に評価を受けなければならない。ところが現状では、評価に半年以上かかることも珍しくない。これを知らずに受注すると、納期やコストが破綻してしまう。

 IPAは「大手メーカーはすでに対策ができているが、中堅・中小システムインテグレータの中には知らないところが多い」ことを懸念している。そのため、「認証要員を増やす」「認証プロセスを見直す」といった対策を取り、評価期間を短縮しようとしているが、それでも約4カ月かかる見通しだ。

 ただし、「評価に出す前に、メーカーやシステムインテグレータに適切な準備をしてもらえれば、評価期間をかなり短縮できる」(竹内研究員)という。製品が持つ部品や機能のうち、セキュリティにかかわる部分に限定して評価を行うようにすれば、評価期間が短縮できる。

 と言うのも、製品全体の評価を依頼された場合、評価機関は製品のどの部分がセキュリティ機能にかかわるか、どの部分は評価しなくてもよいのかという切り分けから始めなければならない。この切り分けに時間がかかってしまっているというのだ。そのため、IPAでは今年1月、メーカーやシステムインテグレータ向けにITセキュリティ評価・認証のコンサルティングやアドバイスを行う部隊を設置した。

 評価に時間がかかるのには理由がある。ITセキュリティ評価・認証制度は評価機関と認証機関が分かれており、二重でチェックする体制になっているからだ。電子情報技術産業協会(JEITA)、電子商取引安全技術研究所(ECSEC)、みずほ情報総研(MHIR)が評価機関を務める。

 ITセキュリティ評価・認証制度では、製品やシステムの設計段階を評価・認証する「ST評価・ST確認」と、設計内容がきちんと実装されたかを評価する「TOE評価」がある。ST評価・確認は日本独自の制度で、ISO 15408認証となるには、ST評価とTOE評価の両方を合格する必要がある。政府調達で求められているのはST評価・確認だけである。