第13回国際コモンクライテリア会議 (ICCC) の報告 パート2(CA Security Reminder) | ScanNetSecurity
2024.05.17(金)

第13回国際コモンクライテリア会議 (ICCC) の報告 パート2(CA Security Reminder)

今年の国際コモンクライテリア会議 (ICCC)には、事前ワークショップと実際のカンファレンスという2つのセクションが用意されていました。今回はカンファレンスの内容をまとめてお話ししたいと思います。

特集 特集
facebookLINE
CA Technologies社 Joshua Brickman氏
CA Technologies社 Joshua Brickman氏 全 1 枚 拡大写真
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の Joshua Brickman による、コンピュータセキュリティの国際規格のフレームワークを提供する、国際コモンクライテリア会議レポートの後編である。

--今年のICCCには、事前ワークショップと実際の カンファレンスという2つのセクションが用意されていました。今日はカンファレンスの内容をまとめてお話ししたいと思います。

大きなニュースとして挙げられるのは、オープニングの全体会議で、MC (Management Committee: 運営委員会) の委員長であるDag Strohman氏が、同委員会の新しいビジョンの概要を説明したことでした。Strohman氏は、「反復可能、検証可能、客観的」な評価に焦点を当てたプロテクション・プロファイル (PP) ベースの作業方法を紹介しました。同委員会では、「価格や時間に影響を及ぼすことなく、より高いセキュリティを実現する必要がある」ということになり、そのために、様々なテクニカル・コミュニティがこうしたPPを構築することを望んでいるのです。こうして打ち出されたのが以下の原則です。

・ 相互承認は、達成可能な評価のみにもとづいたものとする。 PPがない場合はEAL2 (評価保証レベル: Evaluation Assurance Level) に制限される。

・ 協力的プロテクション・プロファイル (cPP) は、コモン・レベルになければならない。

・ テクニカル・コミュニティ(TC) は、複数ベンダが同等製品に対する要件を規定する場合にのみ設置する。テクノロジ・タイプごとに1つのTC設置を原則とする意向。

国家的要件やその他の特別な取り決めにおいて高い保証が求められる場合に備えて、こうした原則には例外を組み込んであるのですが、例外は相互承認されないでしょう。特別な取り決めとは、Senior Officers Group for Information Systems、 Mutual Recognition Arrangement (Sogis MRA)、特定製品を対象としたより高い保証のためのEU協定などです。

今回のビジョンで説明された主な要件に、PPが脆弱性分析に対応するというものがありました。1週間前のワークショップに参加した人達は、ラボでファジングを実施する標準的な方法を考えるよう言われたのですが、これで、そう言われた理由がある程度わかります。というのも、ファジングは、ラボが持っているツールボックスの中に差別化要素として残っている数少ないタスクの1つだからです。この要件をどのようにして反復可能かつ客観的なものにするか、MCはまだ答えを見つけていません。これは立派な目標ではありますが、おそらく実現できないでしょう。

今回のcPPのビジョンには、すべての国が賛成しました。cPPベースではない評価に EAL2の制限を設けることには、2カ国が反対を表明していました。CCRA は2013年Q1に更新され、新しいビジョンが反映される予定です。

では、新しいビジョンを私がどう思っているかと言えば、確かに、エンタープライズ・セキュリティ・マネジメント・コミュニティと一緒に私が推進してきたすべての作業を認めてくれる内容にはなっています。しかし、もっと興味をひかれるのは、どうして米国のビジョンがCCRAの他の国に突然受け入れられるようになったのかということです。カンファレンスのほんの1週間前には(ワークショップで)、「EALなし」のプロテクション・プロファイルという概念について、スキーム間で明らかに意見の相違がありました。そして、カンファレンス開催前の月曜日に何か大きな変化があり、cPPのコンセプトについて100%の合意に至ったのです。他の国の考えを変える何が起こったというのでしょう?これは永遠の謎なのかもしれません。

今後はどうなってゆくのでしょうか?相互承認アレンジメントを変更する (承認される最高EALをEAL4からEAL2にする) ために、CCRAを修正しなければなりません。正式に承認されているcPPは1つ (USB コミュニティ) しかなく、CCRAは数を増やしたいと思っています。前回のブログにも書いたとおり、ESMコミュニティが承認申請することになるでしょう。私達がcPPでも、テクニカル・コミュニティの作業成果は、私達の支援スキーム (NIAP) だけでなく、CCRAのすべての国によって認められるのですから、これは重要なことです。

ESMといえば、私のスピーチは上手くいきました。出席者を前に、何年にもわたるプロジェクトやこれまでに3つのPPを公開してきたことを説明しました。この新しいアプローチのもとで、これだけのPPを公開したTCは他にありません。私の話は、カンファレンスのウェブサイト (「 Track 1- CHAGALL & VAN DONGEN, Day 2, Brickman」をクリックしてください)からダウンロードすることができます。

(Joshua Brickman)

筆者略歴:コモンクライテリアの専門家として、CA Technologies の多数の製品を牽引する他、CAのアクセシビリティ・プログラムにも関わる。

《ScanNetSecurity》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  2. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  3. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  4. 「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

    「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

  5. 脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

    脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

  6. 個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

    個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

  7. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  8. 東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

    東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

  9. 太陽光発電施設向け遠隔監視機器「SolarView Compact」にサイバー攻撃、対策の実施を強く推奨

    太陽光発電施設向け遠隔監視機器「SolarView Compact」にサイバー攻撃、対策の実施を強く推奨

  10. 脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

    脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

ランキングをもっと見る
ホーム 特集 特集 記事
TOP