第13回国際コモンクライテリア会議 (ICCC) の報告 パート1(CA Security Reminder) | ScanNetSecurity
2024.05.04(土)

第13回国際コモンクライテリア会議 (ICCC) の報告 パート1(CA Security Reminder)

今年の国際コモンクライテリア会議 (ICCC) は例年と異なり、新たに組織されたコモンクライテリア・ユーザフォーラムの助けを借りて、カンファレンスに先立つ「事前ワークショップ」が実施されました。今回はワークショップの主要イベント等に関する感想をお届けします。

特集 特集
facebookLINE
CA Technologies社 Joshua Brickman氏
CA Technologies社 Joshua Brickman氏 全 1 枚 拡大写真
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の Joshua Brickman が、コンピュータセキュリティの国際規格のフレームワークを提供する、国際コモンクライテリア会議について詳しく報告します。

--私が仕事をするうえで大変名誉に感じていることの1つに、2007年以来毎年、国際コモンクライテリア会議 (ICCC) に出席していることがあります。今年のカンファレンスは例年と異なり、新たに組織されたコモンクライテリア・ユーザフォーラム (CCUF) の助けを借りて、カンファレンスに先立つ「事前ワークショップ」が実施されました。今回はワークショップの主要イベント等に関する感想を記し、カンファレンス自体については、また別のブログで報告したいと思います。

CCUFが組織され、コモンクライテリアへの変更を実現すべく、コモンクライテリア運営委員会 (CCMC) がとても熱心にCCUFと協力しているのは嬉しいことです。

ワークショップには、産業界、ラボ、コンサルティング業界、学界から約40名の参加があり、3日間にわたるプログラムが組まれていました。

1日目のアジェンダに含まれていたのは…

・スペインのMiguel Banon氏を司会進行役とした、協力的プロテクション・プロファイル (CPP) に関するディスカッション。「プロテクション・プロファイルの作業を行っているテクニカル・コミュニティのすべてを網羅した一覧が必要」というのが主たる成果でした。これは、控えめに言っても困難な問題です。

・革新とプロテクション・プロファイル開発への対応方法について。これは、一見矛盾した表現に見えるかもしれません。基本的に、4つのケースのうち3つはテクニカル・コミュニティで対応することになりますが、4つ目のケースについては本当の解決には至っていません (共有することでベンダの競争力を低下させる革新)。私は散漫な議論だと感じましたし、この週に取り組んだ他の問題の中には、より重要性が高いものがあったと思います。

2日目は、基本的に分科会の日でした。

・主要セッションの中には、サプライチェーン・テクニカル・コミュニティの最新活動報告、CPPライフサイクル・ステージの定義、およびプロテクション・プロファイルに適切ではない製品の評価も含まれていました。

・私自身、2つのセッションで司会進行役を務めました。 1つはオープン・トラステッド・テクノロジ・フォーラム について、もう1つはエンタープライズ・セキュリティ・マネジメント・テクニカル・コミュニティについてのセッションでした。

・「ユーザコミュニティに対する『EALなし』戦略の影響と消費者の受け止め方」というセッションには出席できませんでしたが、CCUFのポータルにMatt Keller氏が掲載している内容によると、このセッションによって「グローバル・トランジション」がカギだということが分かるそうです。言い換えれば、すべてのスキームがEALで行われた評価の価値を認識したうえで、EALが何より優れているというわけではないと取得者を教育しておけば、この戦略は上手くいくということです。

3日目にはCCDBがCCUFに参加し、私達は進捗状況や推奨事項についてディスカッション行うとともに、何より重要なこととして質問をすることができました。

・ここでもCCDBが意表を突いて、「ファジング」(体系的な脆弱性の発見)およびこれを各ラボで反復可能にする方法を検討してほしいと言ってきました。参加者の大半は、そんなことができるとも思いませんでしたが。実際のところ、ラボが採用する脆弱性テストのアプローチがそれぞれ独自性につながっているのです。

・事前にいくつかの質問をCCDBに送っていましたので、セッションでは活発な討論を行うことができました。質問内容は

「複数の国にまたがるテクニカル・コミュニティ (TC) と単一スキームのTCについて。 ここでのポイントは、国によっては国際的認定を求めない固有の理由があるのかもしれないということです。一方、CCDBにとって重要なのは、テクノロジ・タイプごとに1つのテクニカル・コミュニティが存在することです。」

「CCUFの認知 ― CCのポータルにリンクが張られます。スキームの多くもリンク掲載に同意しています。」

「CCの次のバージョン ― マイナーアップグレード」

私は、TCを協力的プロテクション・プロファイルにする方法について質問しました。David Martin 氏(CCDB委員長)からは、CCDBに手紙を送ってくれれば投票を行うとの回答がありました。ですので、私のESMテクニカル・コミュニティについては、そのようにさせていただきます。

どうやら、こうしたワークショップをCCDBミーティングに合わせて年2回開催したい考えのようです。次のブログでは、カンファレンス自体がどうであったか、そして重大発表についてレポートします。

(Joshua Brickman)

筆者略歴:コモンクライテリアの専門家として、CA Technologies の多数の製品を牽引する他、CAのアクセシビリティ・プログラムにも関わる。

《ScanNetSecurity》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  6. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  7. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  8. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  9. 「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

    「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

  10. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

ランキングをもっと見る
ホーム 特集 特集 記事
TOP