第13回国際コモンクライテリア会議 (ICCC) の報告 パート1(CA Security Reminder) | ScanNetSecurity
2024.05.18(土)

第13回国際コモンクライテリア会議 (ICCC) の報告 パート1(CA Security Reminder)

今年の国際コモンクライテリア会議 (ICCC) は例年と異なり、新たに組織されたコモンクライテリア・ユーザフォーラムの助けを借りて、カンファレンスに先立つ「事前ワークショップ」が実施されました。今回はワークショップの主要イベント等に関する感想をお届けします。

特集 特集
facebookLINE
CA Technologies社 Joshua Brickman氏
CA Technologies社 Joshua Brickman氏 全 1 枚 拡大写真
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の Joshua Brickman が、コンピュータセキュリティの国際規格のフレームワークを提供する、国際コモンクライテリア会議について詳しく報告します。

--私が仕事をするうえで大変名誉に感じていることの1つに、2007年以来毎年、国際コモンクライテリア会議 (ICCC) に出席していることがあります。今年のカンファレンスは例年と異なり、新たに組織されたコモンクライテリア・ユーザフォーラム (CCUF) の助けを借りて、カンファレンスに先立つ「事前ワークショップ」が実施されました。今回はワークショップの主要イベント等に関する感想を記し、カンファレンス自体については、また別のブログで報告したいと思います。

CCUFが組織され、コモンクライテリアへの変更を実現すべく、コモンクライテリア運営委員会 (CCMC) がとても熱心にCCUFと協力しているのは嬉しいことです。

ワークショップには、産業界、ラボ、コンサルティング業界、学界から約40名の参加があり、3日間にわたるプログラムが組まれていました。

1日目のアジェンダに含まれていたのは…

・スペインのMiguel Banon氏を司会進行役とした、協力的プロテクション・プロファイル (CPP) に関するディスカッション。「プロテクション・プロファイルの作業を行っているテクニカル・コミュニティのすべてを網羅した一覧が必要」というのが主たる成果でした。これは、控えめに言っても困難な問題です。

・革新とプロテクション・プロファイル開発への対応方法について。これは、一見矛盾した表現に見えるかもしれません。基本的に、4つのケースのうち3つはテクニカル・コミュニティで対応することになりますが、4つ目のケースについては本当の解決には至っていません (共有することでベンダの競争力を低下させる革新)。私は散漫な議論だと感じましたし、この週に取り組んだ他の問題の中には、より重要性が高いものがあったと思います。

2日目は、基本的に分科会の日でした。

・主要セッションの中には、サプライチェーン・テクニカル・コミュニティの最新活動報告、CPPライフサイクル・ステージの定義、およびプロテクション・プロファイルに適切ではない製品の評価も含まれていました。

・私自身、2つのセッションで司会進行役を務めました。 1つはオープン・トラステッド・テクノロジ・フォーラム について、もう1つはエンタープライズ・セキュリティ・マネジメント・テクニカル・コミュニティについてのセッションでした。

・「ユーザコミュニティに対する『EALなし』戦略の影響と消費者の受け止め方」というセッションには出席できませんでしたが、CCUFのポータルにMatt Keller氏が掲載している内容によると、このセッションによって「グローバル・トランジション」がカギだということが分かるそうです。言い換えれば、すべてのスキームがEALで行われた評価の価値を認識したうえで、EALが何より優れているというわけではないと取得者を教育しておけば、この戦略は上手くいくということです。

3日目にはCCDBがCCUFに参加し、私達は進捗状況や推奨事項についてディスカッション行うとともに、何より重要なこととして質問をすることができました。

・ここでもCCDBが意表を突いて、「ファジング」(体系的な脆弱性の発見)およびこれを各ラボで反復可能にする方法を検討してほしいと言ってきました。参加者の大半は、そんなことができるとも思いませんでしたが。実際のところ、ラボが採用する脆弱性テストのアプローチがそれぞれ独自性につながっているのです。

・事前にいくつかの質問をCCDBに送っていましたので、セッションでは活発な討論を行うことができました。質問内容は

「複数の国にまたがるテクニカル・コミュニティ (TC) と単一スキームのTCについて。 ここでのポイントは、国によっては国際的認定を求めない固有の理由があるのかもしれないということです。一方、CCDBにとって重要なのは、テクノロジ・タイプごとに1つのテクニカル・コミュニティが存在することです。」

「CCUFの認知 ― CCのポータルにリンクが張られます。スキームの多くもリンク掲載に同意しています。」

「CCの次のバージョン ― マイナーアップグレード」

私は、TCを協力的プロテクション・プロファイルにする方法について質問しました。David Martin 氏(CCDB委員長)からは、CCDBに手紙を送ってくれれば投票を行うとの回答がありました。ですので、私のESMテクニカル・コミュニティについては、そのようにさせていただきます。

どうやら、こうしたワークショップをCCDBミーティングに合わせて年2回開催したい考えのようです。次のブログでは、カンファレンス自体がどうであったか、そして重大発表についてレポートします。

(Joshua Brickman)

筆者略歴:コモンクライテリアの専門家として、CA Technologies の多数の製品を牽引する他、CAのアクセシビリティ・プログラムにも関わる。

《ScanNetSecurity》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  2. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  3. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  4. 検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

    検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

  5. 認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは

    認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とはPR

  6. 脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

    脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

  7. 個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

    個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

  8. NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

    NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

  9. DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に

    DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に

  10. runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)

    runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)

ランキングをもっと見る
ホーム 特集 特集 記事
TOP