TOPITニュース> IPA、2006年度下期に新しい暗号モジュール認証制度を開始
ThinkIT News
独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構

IPA、2006年度下期に新しい暗号モジュール認証制度を開始

2007/1/23
事業説明会を開催、下期は

   IPAは1月22日、2006年度下期全体事業についてプレス説明会を開催した。まず理事長の藤原 武平太氏より、2006年下期事業の概観と今後の方向性が説明された。

   藤原氏は全体的な成果としてまずOSSセンターについては「発足後1年が経ち、昨年12月に福岡にて北東アジアOSS推進フォーラムが開催されるなど国際的に大きな動きがあり、今後の具体的な業務やスケジュールが決まった」と述べた。

   セキュリティセンターについては「脆弱性分析が1,000件を超えたほか、『安全なWebサイトの作り方Ver.2』を提供するなどの成果があった」と報告、またソフトウェアエンジニアリングセンターについては「経済産業省よりソフトウェアの信頼性を確認するチェックリストを作成しており、ベンチマークとして提供できるように現在実証実験を行っている」と説明した。

   今後の方向性としては「OSSセンター、ソフトウェアエンジニアリングセンター、セキュリティセンターの活動成果を広く活用していくため、自己診断、評価などツールおよびデータベース開発に注力していく」と述べた。

   また人材育成のためのITスキル標準のVer.2が公開され、導入企業が増加していることや、開始後40年近く経過した情報処理技術者試験について、ITスキル標準と統合的に運用できるように大幅改定を検討していることなどを説明した。


暗号モジュール試験および認証制度とは

   暗号モジュール試験および認証制度(Japan Cryptographic Module Validation Program、以下JCMVP)という新しい認証制度が4月から開始することが発表された。詳細については、理事の仲田 雄作氏より説明が行われた。仲田氏は「JCMVPは、暗号モジュール(注1)に実装された暗号化機能、署名機能などの承認されたセキュリティ機能(注2)が正しく実装されていることを確認すると共に、鍵やID、パスワードなどの重要情報のセキュリティを確保していることを試験認証する第三者認証制度」と説明した。

※注1: 暗号モジュールとは、承認されたセキュリティ機能をソフトウェア/ファームウェア/ハードウェアで実装した製品。評価の対象となる暗号モジュールを組み込んだ製品は、承認されたセキュリティ機能を1つ以上含む、暗号ソフトウェアやICカード、PCIカード、ルータなど。
※注2: 承認されたセキュリティ機能とは、電子政府推奨暗号リストを元にIPAによって承認された暗号アルゴリズムのこと。

   JCMVPのメリットについては「ユーザにとっては第三者認証で認定されている製品は安心して利用できる。ベンダーにとっては認定されることで自社製品がセキュリティを確保していることをアピールできる上、すべての政府機関向けセキュリティシステムに製品を提供することが可能になる」と述べた。

   同制度は、申請者(暗号モジュールのベンダ、サプライア)が試験依頼と試験用提供物件(モジュールや機器、ドキュメントなど)を試験機関に提供すると試験機関が試験を実施する。試験結果を確認しIPAが認証を行い、合格した場合は暗号アルゴリズム確認書と暗号モジュール認証書を申請者に発行することになる。

   認証費用はセキュリティレベル(1〜4まで設定)によって異なり、レベル1で262,500万円(税込み)、レベル4で735,000万円(税込み)になるとのこと。試験費用は実費請求となり製品によって異なるがおおよそ数百万程度になるという。

   同制度の実施スケジュールは、以下のようになるという。

2006年6月 試行運用開始
2007年4月 正式運用開始
2007年度後半 民間試験機関業務開始(注3)

表1:実施スケジュール

※注3: 民間試験機関は応募に対してNITE(独立行政法人 製品評価技術基盤機構)が認定を行う。運用開始当初はIPAが試験機関を兼ねる。


自己診断など各種ツールおよびデータベースの開発

   これまでの研究成果を活用するためにツールおよびデータベースの公開/開発を精力的に実施しているという。

   現在IPAにて開発中のツールおよびデータベースとしては、以下のようなものがあるという。

ソフトウェアエンジニアリング
  • ソフトウェア開発プロジェクト可視化ツール(EPMツール)パッケージ
  • 定量データに基づくプロジェクト診断ツール
  • 組込みソフトウェア向けコーディング作法ガイド(C言語版)準拠性診断ツール
セキュリティ対策
  • Zero-Hour-Analysisツールに基づくウィルス情報データベース
  • バイオメトリクス製品データベース
  • セキュリティ要件検討支援ツール
その他
  • 医学知識共有化システム

表2:開発中のツール、データベース

   その他、ソフトウェア産業振興院(タイ SIPA)との組み込み技術分野に関する人材育成合意文書の調印が行われ、今後タイの大学レベルの組み込み技術教育カリキュラムの作成や日本からタイへの専門家派遣支援、タイから日本への研修生の受け入れ支援などが実施されることになったことが報告された。

問い合わせ先
独立行政法人 情報処理推進機構
http://www.ipa.go.jp/

(ThinkIT編集局  千本松 歩)