第13回国際コモンクライテリア会議 (ICCC) の報告 パート1(CA Security Reminder) | ScanNetSecurity
2024.05.15(水)

第13回国際コモンクライテリア会議 (ICCC) の報告 パート1(CA Security Reminder)

今年の国際コモンクライテリア会議 (ICCC) は例年と異なり、新たに組織されたコモンクライテリア・ユーザフォーラムの助けを借りて、カンファレンスに先立つ「事前ワークショップ」が実施されました。今回はワークショップの主要イベント等に関する感想をお届けします。

特集 特集
facebookLINE
CA Technologies社 Joshua Brickman氏
CA Technologies社 Joshua Brickman氏 全 1 枚 拡大写真
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の Joshua Brickman が、コンピュータセキュリティの国際規格のフレームワークを提供する、国際コモンクライテリア会議について詳しく報告します。

--私が仕事をするうえで大変名誉に感じていることの1つに、2007年以来毎年、国際コモンクライテリア会議 (ICCC) に出席していることがあります。今年のカンファレンスは例年と異なり、新たに組織されたコモンクライテリア・ユーザフォーラム (CCUF) の助けを借りて、カンファレンスに先立つ「事前ワークショップ」が実施されました。今回はワークショップの主要イベント等に関する感想を記し、カンファレンス自体については、また別のブログで報告したいと思います。

CCUFが組織され、コモンクライテリアへの変更を実現すべく、コモンクライテリア運営委員会 (CCMC) がとても熱心にCCUFと協力しているのは嬉しいことです。

ワークショップには、産業界、ラボ、コンサルティング業界、学界から約40名の参加があり、3日間にわたるプログラムが組まれていました。

1日目のアジェンダに含まれていたのは…

・スペインのMiguel Banon氏を司会進行役とした、協力的プロテクション・プロファイル (CPP) に関するディスカッション。「プロテクション・プロファイルの作業を行っているテクニカル・コミュニティのすべてを網羅した一覧が必要」というのが主たる成果でした。これは、控えめに言っても困難な問題です。

・革新とプロテクション・プロファイル開発への対応方法について。これは、一見矛盾した表現に見えるかもしれません。基本的に、4つのケースのうち3つはテクニカル・コミュニティで対応することになりますが、4つ目のケースについては本当の解決には至っていません (共有することでベンダの競争力を低下させる革新)。私は散漫な議論だと感じましたし、この週に取り組んだ他の問題の中には、より重要性が高いものがあったと思います。

2日目は、基本的に分科会の日でした。

・主要セッションの中には、サプライチェーン・テクニカル・コミュニティの最新活動報告、CPPライフサイクル・ステージの定義、およびプロテクション・プロファイルに適切ではない製品の評価も含まれていました。

・私自身、2つのセッションで司会進行役を務めました。 1つはオープン・トラステッド・テクノロジ・フォーラム について、もう1つはエンタープライズ・セキュリティ・マネジメント・テクニカル・コミュニティについてのセッションでした。

・「ユーザコミュニティに対する『EALなし』戦略の影響と消費者の受け止め方」というセッションには出席できませんでしたが、CCUFのポータルにMatt Keller氏が掲載している内容によると、このセッションによって「グローバル・トランジション」がカギだということが分かるそうです。言い換えれば、すべてのスキームがEALで行われた評価の価値を認識したうえで、EALが何より優れているというわけではないと取得者を教育しておけば、この戦略は上手くいくということです。

3日目にはCCDBがCCUFに参加し、私達は進捗状況や推奨事項についてディスカッション行うとともに、何より重要なこととして質問をすることができました。

・ここでもCCDBが意表を突いて、「ファジング」(体系的な脆弱性の発見)およびこれを各ラボで反復可能にする方法を検討してほしいと言ってきました。参加者の大半は、そんなことができるとも思いませんでしたが。実際のところ、ラボが採用する脆弱性テストのアプローチがそれぞれ独自性につながっているのです。

・事前にいくつかの質問をCCDBに送っていましたので、セッションでは活発な討論を行うことができました。質問内容は

「複数の国にまたがるテクニカル・コミュニティ (TC) と単一スキームのTCについて。 ここでのポイントは、国によっては国際的認定を求めない固有の理由があるのかもしれないということです。一方、CCDBにとって重要なのは、テクノロジ・タイプごとに1つのテクニカル・コミュニティが存在することです。」

「CCUFの認知 ― CCのポータルにリンクが張られます。スキームの多くもリンク掲載に同意しています。」

「CCの次のバージョン ― マイナーアップグレード」

私は、TCを協力的プロテクション・プロファイルにする方法について質問しました。David Martin 氏(CCDB委員長)からは、CCDBに手紙を送ってくれれば投票を行うとの回答がありました。ですので、私のESMテクニカル・コミュニティについては、そのようにさせていただきます。

どうやら、こうしたワークショップをCCDBミーティングに合わせて年2回開催したい考えのようです。次のブログでは、カンファレンス自体がどうであったか、そして重大発表についてレポートします。

(Joshua Brickman)

筆者略歴:コモンクライテリアの専門家として、CA Technologies の多数の製品を牽引する他、CAのアクセシビリティ・プログラムにも関わる。

《ScanNetSecurity》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  2. 脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

    脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

  3. 東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

    東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

  4. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  5. 「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

    「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

  6. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  7. TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」

    TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」

  8. テレ東「ヤギと大悟」公式 X アカウントが乗っ取り被害、意図しないポストが数件行われる

    テレ東「ヤギと大悟」公式 X アカウントが乗っ取り被害、意図しないポストが数件行われる

  9. ランサムウェア「LockBit」被疑者の資産を凍結し起訴

    ランサムウェア「LockBit」被疑者の資産を凍結し起訴

  10. 豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

    豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

ランキングをもっと見る
ホーム 特集 特集 記事
TOP