I. セキュリティ評価とCC
現在に至るまで、バイオメトリック照合製品のセキュリティ評価へのさまざまな取組みが成されて来た。 これから2回にわたり、それらの取組みと現状を報告する。1回目の今回は、セキュリティ評価、特にCCによるセキュリティ評価に関して報告する。
1. セキュリティ評価に対する要件
セキュリティ評価とは、製品のセキュリティを評価するものである。 評価結果は、誰が評価するかに依存する。 評価者は、製品開発者自体、製品調達者、中立第三者の3つがあり得る。 製品開発者による評価は客観性が乏しく、製品調達者による評価は再利用性を欠く。 中立第三者による評価が、客観性と評価の再利用性の観点から、最も望ましい。
評価には評価基準が必要なので、ひとつの製品を評価するにしても、評価者の数だけの評価基準が存在する。 中立第三者が評価するにしても、評価基準がバラバラでは中立第三者の選定が難しい。 標準的な評価基準の存在が望ましい。
よって、中立第三者による標準的な評価基準によるセキュリティ評価が望ましい。
2. CCによるセキュリティ評価
上記の要求にまさに応えるのが、CC (Common Criteria、コモンクライテリア) によるセキュリティ評価 (CC評価) である。 CCは、CCRA (CC Recognition Arrangement、CC承認アレンジメント) で作成され、ISO/IEC 15408として国際標準規格にもなっている。 第1部は全体の枠組みを示し、第2部はセキュリティ機能要件のカタログ、第3部はセキュリティ保証要件のカタログである。
CC評価では、ST (Security Target、セキュリティターゲット) と呼ばれるセキュリティ要件定義書を作成する。 STには、評価対象製品の持つセキュリティ機能要件を第2部から抽出して記述し、第3部から抽出するセキュリティ保証要件によってセキュリティ機能の実装の確実さ (保証の程度) を決める。
更にCEM (Common Evaluation Methodology、共通評価方法。 ISO/IEC 18045として国際標準規格化) が、保証要件に応じて評価者の実施すべき評価内容を定めている。 こうした枠組みによって、客観的で評価者に依存し難いセキュリティ評価を実現している。
CC評価は、評価者による評価で終わらない。 CCRA加盟国にそれぞれ唯一設置された認証機関 (Certification Body。日本の場合は、情報処理推進機構IPAが認証機関) によって、評価結果を確認の結果、認証されて完了する。 よって、CC評価が認証された製品はCC認証製品と呼ばれる。
原則的に、CCRA加盟国でCC認証された製品は、他のCCRA加盟国においてもCC認証された製品として扱われる。 CCすわなち共通基準でセキュリティ評価された製品なので、評価のばらつきは小さくなるためである。 なお、CC評価は、CCRA加盟国それぞれで承認された評価機関 (Evaluation Body) と呼ばれる組織が実施する。 日本の場合は、4つの組織が評価機関として承認されている。
共通の基準を持った客観的なCC評価ではあるが、問題も指摘されている。 費用・時間がかかることもあるが、CCの世界のセキュリティ要件定義書STが、CC固有の知識・スキルが不十分だと作成が難しい。 実際のCC評価では、STの作成に時間が、よって費用も、かかる場合が多いようである。
この問題の解決の一助となるのが、PP (Protection Profile、プロテクションプロファイル) である。 PPは、製品分野毎のセキュリティ要件定義書である。 具体的な製品に対するセキュリティ要件定義書ではないので、STよりも抽象的な内容になる。
PPは、当該製品分野におけるCC評価の普及に欠かせない存在である。 例えば、バイオメトリック照合製品のPPがあれば、このPPに基づいて、実際の製品のSTを比較的容易に作成することができるからである。
※後編に続きます。
本記事の著者
| 山田 朝彦 産業技術総合研究所 情報技術研究部門 招聘研究員 |
