第13回国際コモンクライテリア会議 (ICCC) の報告 パート1(CA Security Reminder) | ScanNetSecurity
2024.05.01(水)

第13回国際コモンクライテリア会議 (ICCC) の報告 パート1(CA Security Reminder)

今年の国際コモンクライテリア会議 (ICCC) は例年と異なり、新たに組織されたコモンクライテリア・ユーザフォーラムの助けを借りて、カンファレンスに先立つ「事前ワークショップ」が実施されました。今回はワークショップの主要イベント等に関する感想をお届けします。

特集 特集
facebookLINE
CA Technologies社 Joshua Brickman氏
CA Technologies社 Joshua Brickman氏 全 1 枚 拡大写真
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の Joshua Brickman が、コンピュータセキュリティの国際規格のフレームワークを提供する、国際コモンクライテリア会議について詳しく報告します。

--私が仕事をするうえで大変名誉に感じていることの1つに、2007年以来毎年、国際コモンクライテリア会議 (ICCC) に出席していることがあります。今年のカンファレンスは例年と異なり、新たに組織されたコモンクライテリア・ユーザフォーラム (CCUF) の助けを借りて、カンファレンスに先立つ「事前ワークショップ」が実施されました。今回はワークショップの主要イベント等に関する感想を記し、カンファレンス自体については、また別のブログで報告したいと思います。

CCUFが組織され、コモンクライテリアへの変更を実現すべく、コモンクライテリア運営委員会 (CCMC) がとても熱心にCCUFと協力しているのは嬉しいことです。

ワークショップには、産業界、ラボ、コンサルティング業界、学界から約40名の参加があり、3日間にわたるプログラムが組まれていました。

1日目のアジェンダに含まれていたのは…

・スペインのMiguel Banon氏を司会進行役とした、協力的プロテクション・プロファイル (CPP) に関するディスカッション。「プロテクション・プロファイルの作業を行っているテクニカル・コミュニティのすべてを網羅した一覧が必要」というのが主たる成果でした。これは、控えめに言っても困難な問題です。

・革新とプロテクション・プロファイル開発への対応方法について。これは、一見矛盾した表現に見えるかもしれません。基本的に、4つのケースのうち3つはテクニカル・コミュニティで対応することになりますが、4つ目のケースについては本当の解決には至っていません (共有することでベンダの競争力を低下させる革新)。私は散漫な議論だと感じましたし、この週に取り組んだ他の問題の中には、より重要性が高いものがあったと思います。

2日目は、基本的に分科会の日でした。

・主要セッションの中には、サプライチェーン・テクニカル・コミュニティの最新活動報告、CPPライフサイクル・ステージの定義、およびプロテクション・プロファイルに適切ではない製品の評価も含まれていました。

・私自身、2つのセッションで司会進行役を務めました。 1つはオープン・トラステッド・テクノロジ・フォーラム について、もう1つはエンタープライズ・セキュリティ・マネジメント・テクニカル・コミュニティについてのセッションでした。

・「ユーザコミュニティに対する『EALなし』戦略の影響と消費者の受け止め方」というセッションには出席できませんでしたが、CCUFのポータルにMatt Keller氏が掲載している内容によると、このセッションによって「グローバル・トランジション」がカギだということが分かるそうです。言い換えれば、すべてのスキームがEALで行われた評価の価値を認識したうえで、EALが何より優れているというわけではないと取得者を教育しておけば、この戦略は上手くいくということです。

3日目にはCCDBがCCUFに参加し、私達は進捗状況や推奨事項についてディスカッション行うとともに、何より重要なこととして質問をすることができました。

・ここでもCCDBが意表を突いて、「ファジング」(体系的な脆弱性の発見)およびこれを各ラボで反復可能にする方法を検討してほしいと言ってきました。参加者の大半は、そんなことができるとも思いませんでしたが。実際のところ、ラボが採用する脆弱性テストのアプローチがそれぞれ独自性につながっているのです。

・事前にいくつかの質問をCCDBに送っていましたので、セッションでは活発な討論を行うことができました。質問内容は

「複数の国にまたがるテクニカル・コミュニティ (TC) と単一スキームのTCについて。 ここでのポイントは、国によっては国際的認定を求めない固有の理由があるのかもしれないということです。一方、CCDBにとって重要なのは、テクノロジ・タイプごとに1つのテクニカル・コミュニティが存在することです。」

「CCUFの認知 ― CCのポータルにリンクが張られます。スキームの多くもリンク掲載に同意しています。」

「CCの次のバージョン ― マイナーアップグレード」

私は、TCを協力的プロテクション・プロファイルにする方法について質問しました。David Martin 氏(CCDB委員長)からは、CCDBに手紙を送ってくれれば投票を行うとの回答がありました。ですので、私のESMテクニカル・コミュニティについては、そのようにさせていただきます。

どうやら、こうしたワークショップをCCDBミーティングに合わせて年2回開催したい考えのようです。次のブログでは、カンファレンス自体がどうであったか、そして重大発表についてレポートします。

(Joshua Brickman)

筆者略歴:コモンクライテリアの専門家として、CA Technologies の多数の製品を牽引する他、CAのアクセシビリティ・プログラムにも関わる。

《ScanNetSecurity》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

    クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

  3. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  4. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  5. GROWI に複数の脆弱性

    GROWI に複数の脆弱性

  6. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  7. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  8. KELA、生成 AI セキュリティソリューション「AiFort」提供開始

    KELA、生成 AI セキュリティソリューション「AiFort」提供開始

  9. トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

    トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

  10. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

ランキングをもっと見る
ホーム 特集 特集 記事
TOP