情報処理推進機構(IPA)は2007年1月22日、暗号モジュールの試験と認証制度「JCMVP(Japan Cryptographic Module Validation Program)の最新状況を報告した。同制度は、セキュリティ機能を実装したソフトウエアやハードウエアの有効性を第三者機関が認証するものであり、IPAが2006年4月に発表、同6月から試行運用を始めていた。
本格運用は、当初の予定通り2007年4月に始める。暗号化モジュールを提供するベンダーがJCMVPマークを取得するには、試験と認証という二つのプロセスを経る必要がある。
本来、この二つのプロセスの運用機関は別々にすべきところだが、運用当初はIPAが両方の機能を兼ねる。2007年度後半には、民間の試験機関がIPAに代わって試験作業を始めることになりそうだという。試験機関になるには、製品評価技術基盤機構(NITE)による認定が必要なためで、2006年6月から試行運用を始めていたIPAはこれまでの試行運用の実績を基に試験機関の認定を受ける。
認証に必要な費用はセキュリティ・レベルによって異なる。セキュリティ・レベルが最も低いレベル1が26万2500円、軍事用にも利用可能なレベル4は73万5000円である。試験費用は実費とする。
セキュリティ関連システムのベンダーやユーザー企業にとって、JCMVPの取得は強制されるものではない。それでも、政府関連機関の調達にはJCMVPの取得が何らかの形で盛り込まれることになりそうだ。ベンダーも、自社製品のセキュリティの確かさを、JCMVP取得を通じてアピールすることになるだろう。
