資料集「ISO15408に準拠したセキュリティ評価基準の活用とセキュリティポリシー作成マニュアル」
概要へ
ISO15408の意義とビジネス・システム開発への影響

(第1章.情報システムセキュリティの国際標準化と評価・認証の概要より)

1.ISO15408とは
2.ISO15408のビジネスへの影響
3.ISO15408のシステム開発・運用面への影響
4.セキュリティーに関する意識調査
5.日本の取り組み
6.セキュリティーの評価事例と参考資料


1.ISO15408とは
欧米の主要国には、個々の情報処理製品(データベース管理、ファイアウォール、ICカードなど)や情報処理システム (インターネットバンキング、認証サービスなど)のセキュリティ完備状況を評価し、認証するための制度が運用されている。 この制度は、個々の情報処理製品や運用システムのセキュリティ機能や品質を、セキュリティ基本設計書(セキュリティポリシー)、 プログラム設計書・ソースコード・テスト結果・マニュアルなどの内容のチェックや、テストの実施などによって検査 (評価:欧米では民間の独立機関または政府機関が実施)し、問題がないことを証明(認証:欧米では政府機関が実施し、認証書を発行) するというものである。

(1)ISO15408のめざすもの
ネットワーク化や分散化に伴い、情報処理システムで処理されるデータに対するセキュリティの重要性は増している。 直接、金銭にからむ金融関連システムや医療カルテなどのプライバシーデータを扱う医療システムなどはその端的な例である。 これらプライバシーや企業秘密情報を処理するシステムは、自らの責務として、その利用者からの “ほんとうにセキュリティは大丈夫?”との問いに答えなければならない。 当然、同じ問いは、システムを構成する製品の製造者に対しても発せられる。 この問いに答えるための1つの方法を提示したのが国際セキュリティ評価基準(ISO15408)である。
本ISOの基本的な考え方は、“製品やシステムの開発・製造・運用にかかわった資材を検査することによって、 大丈夫であることを確認する”というものである。検査の対象となる資材には、プログラム設計書、 プログラムソースコード・オブジェクトコード、テスト文書、マニュアル、開発者・業務者への教育・業務規約など 通常の開発や運用で作成するものがある。 これらに加えて、セキュリティ固有の生産物である、セキュリティ基本設計書 (ISO15408ではSecurity Targetと呼称)と脆弱性分析書も含まれる。
 
(2)ISO15408の仕組み
評価基準は、大きく「機能要件」と「保証要件」の2つから構成されている。
機能要件というのは、対象システムが有しているセキュリティについての機能のことである。 例えば、どのシステムにも利用してもよい人とよくない人がいる。そうすると、利用してもよい人をどのように登録して、 どのように本人確認をするのかといったことから始まり、そのシステムの中でどの業務アプリケーションを実行できて、 どのデータにアクセスできて、どのような操作が可能かということの規定を設け、これをシステムとして実装しなければならない。 これが機能要件である。
保証要件というのは簡単にいえばシステムの「品質」に関する要件である。 セキュリティシステムというのは一種のチェック機構である。ルールを設けて、そのルールの範囲内でシステムを利用してもらい、 それをチェックし、ルールに反する利用に対しては差し止めをする必要がある。 プログラムを機構的に見て「機能」が正しく働くかどうかを「品質」としてとらえている。 例えば、ある特別のユーザーIDを入力するとチェック機構を素通りしてしまうような処理ルートがあったとしても、 これはシステムを外から機能的にチェックしてもわからない。 あるルールを設けてルールベースの中に反映されていたとしても、ルールベースが稼働する際に特別のプログラムが働き 簡単にルールベースを変更できてしまうというような欠陥も、外からはなかなかテストできない。 そこで、「保証要件」として品質の要件が同時に規定されている。これは非常に重要な内容である。
 

2.ISO15408のビジネスへの影響
ISO15408制定後は、システムの構築や運用において、国際的な規模で種々の影響が出てくることが予想される。 まず、システムの利用者に対して、該当システムが安全であることを証明する方法として、 この基準に基づく評価・認証を取得していることが要求されるようになるであろう。 例えば、ドイツでは電子署名や電子公証などのサービスを提供するシステムを認定する条件として、Common Criteriaによる 評価・認証が法的に定められている。 また、アメリカのいくつかの州法でも、同様のサービス提供に際して、 Common Criteriaへの準拠が定められている。 また、他社システムとの接続時に、接続対象システムの安全性を保証するものとして、 この基準に基づく評価・認証を取得していることが要求される。 このようにシステムの評価・認証が必要になってくれば、システムで使用される製品は当然、評価・認証済みのものが使用されることになる。 いわば、製品の販売条件となる。


3.ISO15408のシステム開発・運用面への影響
(1)ISO15408に準拠してシステムを開発・運用することの利益
「ファイアウォール、暗号機能、ワンタイムパスワードなどのセキュリティ製品を導入はしたが、肝心の利用者が有効に利用してくれない」 「各サーバーのセキュリティ方針がバラバラで、有機的な全社ネットワークシステムの構築ができない」。 最近、このような声をよく聞く。これは、セキュリティに関して、局所的な個所への個別技術対策ばかりに目を奪われて、その運用までを含んだ、 トータルなセキュリティ対策についての配慮が欠けていた結果である。 ISO15408に準拠して、システムを構築し、セキュリティ評価・認証を受けることは、ビジネス上必要であるばかりでなく、 システムの開発・運用コスト削減にもつながる。 やみくもにセキュリティ機器や製品を導入するのではなく、各システムのセキュリティ上の問題点を本国際標準に則って分析し、 問題点への最適解を求めることにより最低限の投資で、運用・管理まで含めたセキュアーなシステムの構築が可能になり、 上記のような問題の発生を抑制できる。 さらに、セキュアなシステム構築への投資は、評価・認証の結果としての “セキュリティ認証書”取得という目に見える形になり、宣伝としても利用できる。
 
(2)ISO15408のシステム開発・運用への影響
ビジネスや開発投資の面で多大な利益をもたらすセキュリティ評価・認証の取得は、当然、システムの構築段階やその運用にも影響を与える。 やみくもにセキュリティ機能を導入するのではなく、本標準に定められた方法で、セキュリティ上の問題点を分析し、 その結果に応じた対策の実施が、設計段階で求められる。 プログラムの開発環境、開発管理方法、開発生産物の内容などに対しても、セキュリティへの配慮が要求される。さらに、運用に際しても、 業務担当者へのセキュリティ教育やセキュリティ監査の実施などが要求される。 最適なセキュリティ対策機能の導入と、開発や運用時点でのセキュリティ配慮がなければ、評価・認証に合格することはできない。
特に、開発時点でのセキュリティ対策は重要である。万が一、技術的な対策の欠陥が運用開始後に発見された場合でも、機能追加の形で補修できる。 しかし、プログラムソースコードの管理や開発者の管理など、製品やシステム開発時に要求されるセキュリティ対策に欠陥があった場合には、 部分的に補修するわけにはいかない。評価に合格するためには、「再度、製品やシステムの開発を!」ということになってしまう。 システムの各開発工程と本評価基準で規定されている作業との関連を下(図1)に示す。
図1

(3)セキュリティ設計に大きな影響を与えるセキュリティ設計ガイド
セキュリティ基本設計書では、具体的な機能仕様と品質管理方法を除く、保護資源、保護対象資源利用方針、評価対象のセキュリティ脅威、 対策方針、セキュリティ要件、正当性・有効性検証は製品種別や業務種別ごとに共通に利用できる場合がある。 具体的な仕様や管理方法以外の共通部分だけを取り出したものを「セキュリティ設計ガイド」(Protection Profile)と呼ぶ。 これは、製品やシステムのセキュリティのあるべき姿を示したものともいえ、「セキュリティ基本設計書」作成時に参考になるものである。 セキュリティ評価を受けた「セキュリティ設計ガイド」が広く国際的に利用できるようになることが望ましい。 このため、この「セキュリティ設計ガイド」を国際的な機関に登録する手続きに関して、ISOで検討している。 現在、製品レベルで、汎用のオペレーティングシステム、データベース、ファイアウォール、ICカードなどに関する「セキュリティ設計ガイド」が、 また運用システムレベルで、一般消費者が参加したネットワークシステムに関する「セキュリティ設計ガイド」が、 多数のベンダーや標準機関の協力で作成されている。


4.日本におけるセキュリティ対策の実態
(1)セキュリティに関する意識調査
図2

上図(図2)は、1997年に富士通のコンサルテーション部隊が行ったセキュリティに関する意識調査結果である。
 1.全体的に見て国際的な標準よりセキュリティ対策のレベルが低い。
 2.特に「監査」「組織」「教育」が劣っている。
「PC/WSデータ管理」「NW/LAN管理」も劣っているが、ホストコンピュータの世界と比べると歴史も浅く、これらはこれからの課題であろう。 ホスト系及び物理的な管理は国際的なレベルに達しているといえるが、特徴的なことは「監査」「組織」「教育」といったソフト面が弱いことである。
多額の費用をかけてセキュリティ対策をする前に「監査」「組織」「教育」といった点を整備して、合格レベルに上げておく必要がある。

(2)暗号機能の利用調査
全体の平均で15.3%の企業が暗号機能を利用している結果になっている。 暗号機能の利用状況という点では英国とほぼ同じである(図3)。
図3


(3)セキュリティ対策を実施するうえでの問題点
@必要性は理解できても、投資効果が見えないために実施に結びつかない。
A技術的不明確さ、運用負荷、コスト負担などが拍車をかけている。


5.日本の取り組み
わが国の取り組みについて簡単に紹介する。
わが国の情報処理ベンダーは、ISO15408に関して、その標準化の作業が始まった1991年より積極的に参画してきた。 この中で、機能面ではネットワーク環境に依存する機能を中心に多くのコメントを提出してきた。 また、品質・保証面では、ISO9000との整合性を中心にコメントしてきた。 このISOへの参画時期と合わせて、1991年に日本電子工業振興協会に「セキュリティ評価基準専門委員会」を設立し、欧米の関連機関と協力して、 コマーシャルシステム環境におけるセキュリティ標準の作成を実施してきた。 これは、「コンピュータセキュリティ基本要件」として、1994年に初版が1997年に改訂版が刊行されている。
また、評価・認証の手法に関しては、1996年に通商産業省の支援のもとに、欧米で運用されている技法の調査・研究を開始した。 この成果を受けて、現在、情報処理振興事業協会において、相互認証を可能とする評価・認証技法の開発が行われている。
情報処理振興事業協会:http://www.ipa.go.jp/SECURITY/ccj/
 
6.セキュリティの評価事例と参考資料
(1)既存製品のセキュリティ評価事例(図4)
図4

(2)セキュリティ評価関連機関と情報入手先(図5)
図5

(3)参考資料(図6)
図6


(以上は、標記資料集第1章の要旨を編集部で整理したものです)
 



「ISO15408に準拠したセキュリティ評価基準の活用とセキュリティポリシー作成マニュアル」

著者:田渕治樹氏(富士通(株)企画本部)
体裁:A4版250ページ
定価:33,600円(JUAS会員 29,400円)

主な内容

  1. 情報システムセキュリティの国際標準化と評価・認証の概要
  2. セキュリティポリシー評価基準(ISO-15408)の概要
    1. セキュリティ評価基準(ISO-15408)の構造
    2. 11のクラスに分かれたセキュリティ保証要件の解説
    3. 8のクラスに分かれたセキュリティ保証要件の解説
    4. 7つのレベルに分けて規定してあるセキュリティ保証レベル
    5. 機能要件・保証要件の定義例
  3. セキュリティポリシー作成の手順と作成のポイント
    1. セキュリティ評価に合格するためのシステム開発のプロセス
    2. 「セキュリティ基本設計書作成ガイド」によるセキュリティポリシーの構成と記述のポイント
    3. 保護対象コンピュータ資源の特定とポイント
    4. 「セキュリティ脅威とセキュリティ対策方針」を利用した脅威(リスク)分析手法とポイント
    5. 脅威に対するセキュリティ対策方針の決定手法とポイント
    6. 対策方針実現のためのセキュリティ要件の決定手法とポイント
    7. 要件を満足する機能仕様/開発手法の決定手法とポイント
    8. 検証手法とポイント
  4. 認証取得のための「セキュリティ基本設計書作成ガイド」と活用のポイント
    1. 評価対象の概要、セキュリティ設計ガイドの参照
    2. 評価対象の規定
    3. セキュリティ条件
    4. セキュリティ対策方針
    5. 情報セキュリティ要件
    6. 機能仕様、開発手法概要
    7. セキュリティ設計ガイド
    8. 正当性、有効性の検証
  5. セキュリティポリシー作成事例をもとにしたセキュリティポリシー作成の具体的な方法とポイント
    1. 業務システムのセキュリティポリシー作成事例と具体的作成方法、留意点
    2. 製品のセキュリティポリシー作成事例と具体的作成方法、留意点
  6. ISO-15408の「保証要件」の解説書
  7. セキュリティについての脆弱性分析手法と脆弱性分析報告書の作成方法

ご注文・お問い合わせはこちら(担当:JUAS石川)へ

マニュアル・資料集一覧に戻る

JUAS新着記事一覧に戻る