経済産業省(経産省)は10月31日,同省と独立行政法人製品評価技術基盤機構(NITE)が「CCRA(Common Criteria Recognition Arrangement)」に加盟したことを明らかにした。NITEは,国内における,ハード/ソフトウエア製品のセキュリティ評価基準「ISO/IEC 15408」の認証機関。CCRAは,ISO/IEC 15408を相互承認するための枠組みである。今回の加盟により,他の加盟国においても,国内で取得したISO/IEC 15408認証が“通用”するようになる。具体的には,他のCCRA加盟国の政府調達基準などを自動的に満たすことになる。
2001年4月から,NITEはISO/IEC 15408の認証業務を開始している。ISO/IEC 15408認証の取得手順は次の通り。まず,ハード/ソフトウエア・ベンダーは,NITEに対して,ある製品についての認証を取得したいと申請する。するとNITEは,その製品の評価を,NITEが認定した「評価機関」に依頼する。現在のところ国内の評価機関は,電子商取引安全技術研究組合(ECSEC),電子情報技術産業協会(JEITA),日本品質保証機構,富士総合研究所,富士通北陸システムズ――の5社/団体。そして評価機関からの報告書に基づいて,NITEが認証して,認証書を交付する。
経産省情報セキュリティ政策室によると,現時点では2製品がNITEから認証を受けているという。これらの製品は,国内では「ISO/IEC 15408に準拠した製品」として認められるが,国外では認められない。ISOは基本的には国ごとに運営されているためである。
他国でも認められるようにするには,それぞれの国で取得された認証を,国が承認し合う必要がある。セキュリティ評価基準(ISO/IEC 15408)を承認し合うための国際的な枠組みがCCRAである。米,英,仏,独,カナダ,オーストラリアなどが加盟しており,日本は19番目の加盟国である。今回の加盟により,国内(NITE)で認証されたISO/IEC 15408は,他の加盟国でも“通用”するようになる。
経産省情報セキュリティ政策室によると,他の加盟国でも通用するISO/IEC 15408を取得した国内製品は,現時点でも10数件あるという。ただしいずれも,CCRAに加盟している国の認証機関/評価機関によって認証および評価されたもの。今後は,国際的に通用するISO/IEC 15408認証を国内で取得できるようになる。
(勝村 幸博=IT Pro)
