 |
≫ |
|
|
|
|
■ 「HP IceWall SSO」のISO/IEC 15408認証取得の背景について教えて下さい。
|
|
|
|
|
|
やはり、最近の「個人情報保護法」や「J-SOX法」といった、情報セキュリティに関する法規整備が大きく背景にあります。ご存知のとおり、「J-SOX法」等の根幹であるIT統制化において、「認証」、「アクセスコントロール」は肝となる重要なセキュリティ機能であり、またHP IceWall SSOの中核となるセキュリティ機能でもあります。IT統制においては、情報資源を有効かつ効率よく利用することにフォーカスする一方、情報資源を適切に管理することも必要とされます。すなわち、真逆の要素をバランスさせることが重要となります。
システムを有効活用する、という方向のお話はとても見せやすいんです。一方、セキュリティを高めて情報資源を守りますというお話は、信用してもらうのがなかなか難しい。どういう形でお客様に提示しセキュリティ品質を保証すればいいのか、ということが非常に大切ですね。 |
|
■ ISO/IEC 15408とは、どのようなものなのですか?
|
|
|
|
|
|
ISO/IEC 15408は、対象となる製品のセキュリティ機能が本当に有効か、正確に動作しているかを認証する情報技術セキュリティ評価基準です。そのセキュリティ製品の持つセキュリティ保護の機能が本当に機能しないといけない時にきちんと機能するか、十分な機能実装がされているか、さらにはユーザが導入、設定、運用行く上で必要な製品情報が正しく理解できる形で提供されているかなどを、セキュリティ評価基準に基づいて第3者機関により評価されます。
ISO/IEC 15408の認証を取得するには、評価機関が評価レポートを作成し、認証機関がチェックして認証を行います。日本国内では、IPA(情報処理推進機構)が認証機関となっています。
ISO/IEC 15408には、評価基準(CC:Common Criteria)と評価方法(CEM:Common Evaluation Methodology)の2つがあります。開発証拠資料作成においてはCCを見ながら作成していけばよいのですが、CEMを見ながら、どのようにセキュリティ製品は評価されるのかを把握しながら検討・作成しました。ちなみに、CCとCEMにはバージョンがあるのですが、今回は最新のバージョン3.1に基づいて認証を行っています。今後、新しい認証基準に対応してくる製品が続くと思いますが、それらに先駆けた認証取得という意味では重要だと思います。 |
|
[拡大画像を表示] |
|
|
|
実際の作業としては、そのセキュリティ製品についての開発証拠資料、ST(セキュリティターゲット)を作成します。具体的には、基本設計書やインターフェース対応表、導入・運用マニュアルと対応表などが必要となります。また、機能仕様書、ガイダンス文書なども必要となります。
認証取得後は、これら作成した資料は、認証機関であるIPAからすべてダウンロードすることができるようになっています。つまり、お客様が購入を検討しているセキュリティ製品についての情報にアクセスでき、それらの情報に基づいて導入の判断が行えるというわけです。 |
|
|
 |
|
「HP IceWall SSO」という製品は開発されて10年以上が経っており、内部資料もかなり充実していたので、ドキュメント類の完成度は最初から非常に高かったです。そのため、認証取得のために新たにドキュメントを書き起こす必要は非常に少なかったですね。評価・認証対象となるセキュリティ仕様に関する情報を整理して、評価機関にお渡しするという感じでした。 |
|
|
新規に開発する製品であれば、設計段階からかなり認証取得のことを意識して開発することができるのではないかと思います。しかしIceWall SSOの場合は、既に出荷されているHP IceWall SSO 8.0 R2を意図的に対象製品とし、従来の製品品質および開発体制のまま評価・認証に挑みました。結果として、二ヶ月半という短期間で認証取得に至ったということは、製品およびソリューション開発に携わるものにとって十分意義のある認証取得であったと考えております。IceWall SSOの場合、多様なニーズに対応するためにバージョンが進むごとに熟成されていったような感じですので、認証取得のために大きな抜けというのはありませんでした。これは、製品の開発ポリシーに則って開発を進めてきたことが、きちんと認証に結びついたということではないかと思います。
大変だったこととしては、評価に当たっては評価環境を限定しないといけない点でした。HP IceWall SSOは対応プラットフォームおよび構成パターンが複数あるのですが、お客様のご使用になっている環境構成に基づいて優先順位付けを行い、今回はHP-UXとLinuxの2つの典型的な構成パターンで評価・認証を行いました。今回のような短期間においては、評価機関が評価する構成パターンは1パターンのみとなるのが通常とのことです。今回、テスト環境の要件整理、構成設計、環境構築、そして評価作業中の評価機関の方々に対する質疑応答等は、HP IceWall SSO導入作業において常日頃お客様と接しているHP IceWall SSOのデリバリー・チームのメンバーが行いました。評価作業をスムーズに実施していただくための技術支援のプロフェッショナルたちの貢献が大きかったと考えています。 |
|
印刷用画面へ
