情報処理推進機構(IPA)は4月18日,「暗号モジュール試験及び認証制度(JCMVP:Japan Cryptographic Module Validation Program)」の試験運用を6月から開始することを発表した。JCMVPとは,ベンダーなどが開発した暗号製品(暗号モジュール)において暗号アルゴリズムが適切に実装されているかどうかを試験する制度。合格すれば認証を与える。試験運用期間中は,数件を無償で試験する。正式運用開始は2007年4月を予定。
セキュリティ製品の評価・認証制度としては,「ISO/IEC 15408」に基づいた「ITセキュリティ評価・認証制度」が存在するが,暗号アルゴリズムの評価はISO/IEC 15408の対象外。このためIPAでは,暗号アルゴリズムが適切に実装されているかどうかを試験および認証するためのJCMVPを策定し,2007年4月からの正式運用に向けて現在準備を進めている。試験対象となるのは,主に「電子政府推奨暗号リスト」に記載されている暗号アルゴリズム。
JCMVPがベースとするのは,暗号モジュールのセキュリティ要件を定めた国際標準規格「ISO/IEC 19790」および米連邦情報処理規格「FIPS PUB 140-2」。暗号モジュールがこれらのセキュリティ要件を満たしているかどうかを判断するための「試験要件」をIPAが策定し,それに基づいて試験を実施する。試験に合格すれば,JCMVPの認証を付与する。
「2005年12月に政府決定された『政府機関の情報セキュリティ対策のための統一基準』では,暗号アルゴリズムが適切に実装されているかどうかを確認する必要があるとしている。JCMVPは,このことを確認できる制度であり,同統一基準の推進に貢献できる」(IPA)とする(関連記事)。
◎参考資料
◆「暗号モジュール試験及び認証制度」試行運用開始のお知らせ
