コモンクライテリアとは
サイバーセキュリティとコンプライアンスの要件を満たす最良の方法の1つは、世界的に認められているコモンクライテリア認証を取得した製品を活用することです。
馴染みがありませんか? 説明します。
以下では、コモンクライテリア評価の基本について説明しています。 認証とは何か、なぜ認証が重要なのか、認証製品がどのようにあなたのビジネスに役立つのか、そのすべてを探ってみましょう。
コモンクライテリア認証とは何ですか?
Common Criteria for Information Technology Security Evaluation(コモンクライテリアまたはCCと略されます)は、コンピューターセキュリティ認証の国際標準です。 ISO/IEC 15408に基づき、ITセキュリティ製品が厳格かつ反復可能な方法で評価されていることを保証することを主な目的としています。 具体的には、各製品がその使用目的に見合ったテストプロセスを経ることを保証します。
もともとCC認証プロセスは、各国のセキュリティ認証制度を統一し、それに取って代わるものとして開発されました。 これには、アメリカ、カナダ、ドイツ、イギリス、フランス、オーストラリア、ニュージーランドが含まれます。 現在では、包括的なサイバーセキュリティのフレームワークとして、世界中の安全なIT製品の相互承認を最も広く提供しています。
概要
コモンクライテリア認定ソリューションは、ミッションクリティカルなインフラストラクチャを保護するために、世界中の政府や企業に必要です。
実際、eIDASとして知られる欧州連合(EU)の電子認証およびトラストサービス規則(Electronic Identification and Trust Services Regulation)に基づく適格なデジタル署名サービスの前提条件となることが良くあります。 また、米国政府機関の顧客は、コモンクライテリア認定を必要とする全国情報保証パートナーシップ(NIAP)にリストされた、安全なIT製品を頻繁に要求します。
なぜでしょうか コモンクライテリア規格は、製品セキュリティの特定の側面が徹底的に実装され、テストされ、維持され、独立して検証されていることを保証するものだからです。 CC認証は、そのセキュリティ要件の中で、以下の項目を取り上げています:
- 製品開発および、高レベルの設計、アーキテクチャ、実装を含む関連セキュリティ機能
- 安全な製品展開と準備のためのガイダンス
- 製品構成、納入、引退に関する文書およびプロセスのライフサイクル管理
- 基本要件に従ったセキュリティ機能のテスト
認証局
国際規格であるコモンクライテリアは、認証機関と呼ばれる組織を通じて、さまざまな国のパートナーシップによって管理されています。 各認証機関は、コモンクライテリアのセキュリティ要件に照らして製品を独自に評価し、認証する責任を負います。
コモンクライテリアを理解する: キーコンセプト
コモンクライテリア規格には、独特の用語や言い回しがいくつかあります。 ここでは、それぞれの簡単な内訳と、なぜそれが重要なのかを説明します:
- 評価対象(TOE) : これは単に、CCの評価プロセスを経た製品を指します。
- セキュリティターゲット(ST) : セキュリティターゲットは、TOE のセキュリティ機能と特性を定義した文書です。 STは、ベンダーが自社のソリューション固有の機能に合わせて評価をカスタマイズできるようにするとともに、顧客がどのセキュリティ機能がテストされたかを識別できるようします。 1つまたは複数のプロテクションプロファイル(PP)を参照することができます
- プロテクションプロファイル(PP) : これは、認定署名作成機器など、特定の種類の製品のセキュリティ要件を特定するために作成される文書です。 ベンダーは多くの場合、プロテクションプロファイルをベースラインとして使用し、独自のセキュリティ目標を作成します。
- セキュリティ機能要件(SFR) : これは、その製品独自のセキュリティ機能や能力のすべてを指します。
- セキュリティ保証要件(SAR) : SARリストは、製品が主張する基準を満たすことを保証するために必要な手順を記述するために使用されます。
- 評価保証レベル(EAL) : EALは、評価プロセスの深さと厳しさを表す数値評価です。 より簡単に言えば、製品がセキュリティ保証要件に従ってどれだけ厳しくテストされたかを顧客に伝えるものです。 EALは1(最も基本的なもの)から7(最も厳しいもの)まであります。
コモンクライテリア認証プロセス
コモンクライテリア認定を受けた製品やソリューションはすべて、特定の評価プロセスに従って独立したテストと検証を受けなければなりません:
- 開発者は、まず「セキュリティ目標説明書(Security Target Description)」に記入し、製品、そのセキュリティ機能、および潜在的な脆弱性の概要を示す補足資料を提出しなければなりません。
- オプションとして、組織は、CC認証プロセス全体を通して指針となる文書としてプロテクションプロファイルを選択することができます。 PPの選択は必須ではありませんが、TOEが意図されたユースケースに合致していることを確実にするために、徹底的な評価に取り組んでいる、という意味があります。
- 次に、独立ライセンスを受けた認証機関が、その製品がコモンクライテリア基準を満たしているかどうかを評価しなければなりません。 終了後、調査結果を評価報告書にまとめます。
- TOEが最低要件を満たせば、認証機関はコモンクライテリア証明書を発行します。
検証後、コモンクライテリア認定製品はすべてコモンクライテリアポータルに掲載されます。
電子署名プロジェクトにEntrust nShield HSMと署名アクティベーションモジュールを使用してコモンクライテリアを活用する
Entrust nShieldハードウェアセキュリティモジュール(HSM)は、厳格なコモンクライテリア標準に対してテストおよび認定された、安全な信頼の基点を提供し、規制への準拠を支援すると同時に、セキュリティソリューションに必要な信頼性を提供します。
CC認証により、当社のSolo XC、Connect X、nShield 5HSMは、すべてのハードウェアセキュリティモジュールの業界標準であるEN 419 221-5 Common Criteria Protection Profileの要件を満たしていることが検証されています。 当社のソリューションは、eIDASに準拠した暗号資産の生成を可能にし、お客様にセキュリティ保証を提供します。
これらのHSMは、安全な暗号化処理、鍵の生成および保護、暗号化などのために、堅牢で耐タンパー性の環境を提供します。 3つのフォームファクタおよびサービスで利用可能なEntrust nShield HSMは、さまざまな実装シナリオをサポートします。
eIDAS準拠のリモート署名サービスを展開する場合、EntrustはSignature Activation Module(SAM)CEN EN 419 241-2準拠のコモンクライテリア認証も提供しています。 当社のCC認定HSMと組み合わせることで、eIDASに準拠したQualified Signature Creation Device(QSCD)を導入することができます。