暗号モジュール試験および認証制度(Japan Cryptographic Module Validation Program、以下JCMVP)という新しい認証制度が4月から開始することが発表された。詳細については、理事の仲田 雄作氏より説明が行われた。仲田氏は「JCMVPは、暗号モジュール(注1)に実装された暗号化機能、署名機能などの承認されたセキュリティ機能(注2)が正しく実装されていることを確認すると共に、鍵やID、パスワードなどの重要情報のセキュリティを確保していることを試験認証する第三者認証制度」と説明した。
※注1:
暗号モジュールとは、承認されたセキュリティ機能をソフトウェア/ファームウェア/ハードウェアで実装した製品。評価の対象となる暗号モジュールを組み込んだ製品は、承認されたセキュリティ機能を1つ以上含む、暗号ソフトウェアやICカード、PCIカード、ルータなど。
※注2:
承認されたセキュリティ機能とは、電子政府推奨暗号リストを元にIPAによって承認された暗号アルゴリズムのこと。
JCMVPのメリットについては「ユーザにとっては第三者認証で認定されている製品は安心して利用できる。ベンダーにとっては認定されることで自社製品がセキュリティを確保していることをアピールできる上、すべての政府機関向けセキュリティシステムに製品を提供することが可能になる」と述べた。
同制度は、申請者(暗号モジュールのベンダ、サプライア)が試験依頼と試験用提供物件(モジュールや機器、ドキュメントなど)を試験機関に提供すると試験機関が試験を実施する。試験結果を確認しIPAが認証を行い、合格した場合は暗号アルゴリズム確認書と暗号モジュール認証書を申請者に発行することになる。
認証費用はセキュリティレベル(1〜4まで設定)によって異なり、レベル1で262,500万円(税込み)、レベル4で735,000万円(税込み)になるとのこと。試験費用は実費請求となり製品によって異なるがおおよそ数百万程度になるという。
同制度の実施スケジュールは、以下のようになるという。
2006年6月 |
試行運用開始 |
2007年4月 |
正式運用開始 |
2007年度後半 |
民間試験機関業務開始(注3) |
表1:実施スケジュール
※注3:
民間試験機関は応募に対してNITE(独立行政法人 製品評価技術基盤機構)が認定を行う。運用開始当初はIPAが試験機関を兼ねる。
|