情報セキュリティ及び暗号モジュールに係る適合性評価

日本政府は、デジタル社会に向けた様々な施策に取り組んでいるが、それを支える情報セキュリティ技術の基盤は脆弱である。本稿では、その具体的な例として、情報セキュリティ及び暗号モジュールに係る適合性評価制度の概要と、欧米のベンダーの製品に依存している実態について論じてみたい。

情報システムの開発及び運用に係るセキュリティの確保は、一般にCC（コモンクライテリア）と呼ばれる評価手法によって、担保される。日本を含む多国間のセキュリティ評価・認証に係る国際承認アレンジメント（CCRA）においては、外国の適合性評価機関による評価・認証がなされた外国製品であっても、自国の適合性評価機関による評価・認証と同等と認められる。これを相互承認（Mutual Recognition）と言い、日本は評価保証レベル(EAL)4（CCRAで承認されたPPに適合していない場合はEAL2まで）まで、参加している。

日本のCC（コモンクライテリア）の認証機関は独立行政法人情報処理推進機構（IPA）である。実際の国内における試験は、独立行政法人製品評価技術基盤機構（NITE）により認定された試験所である電子商取引安全技術研究組合（ECSEC）の会員企業と一般社団法人ITセキュリティセンター（ITSC）が行い、IPAがそれらの試験結果に基づき認証している。ハードウェア、ソフトウェア等に対する認証の実績があるが、その数は多いとは言えない。

また、暗号モジュール（装置及びソフトウェア）については、JCMVPと呼ばれる適合性評価制度が運営されている。北米のCryptographic Module Validation Program（CMVP）の日本版であるが、これも十分に普及しているとは言い難い。
CMVPは、暗号モジュールの安全性、機密性に関する要件を定める標準として米国連邦政府が定めるFIPS（Federal Information Processing Standard：米国連邦情報処理規格）140-2をベースに適合性評価を実施する制度である。
米国NIST及びカナダCSEは、自国政府が使う暗号モジュールを規定しており、自ら国家の認証機関として、NAVLAPによる認定を受けた試験所による試験結果を基に評価・認証している。
日本のJCMVPを運用するのは、CCと同様にIPA。ただ、試験所としては、上記を含む国内3社が、独立行政法人製品評価技術基盤機構（NITE）により認定されているのみであり、国内メーカーの暗号モジュールに対する適合性評価は活発とは言えない。

ちなみに、欧州には、独自のCMVPはない。オランダ、フランス、ドイツ、英国、スペインは、それぞれの国の試験所による試験に基づき、米国及びカナダのCMVPの認証を受けている。これは、各国毎の市場は小さくても、NATOとしての市場はそれなりに大きいからだ。

日本のJCMVPの対象となる暗号モジュール市場が小さいのは、軍事技術と密接な関係にある暗号モジュールの研究開発への投資が少ないからであろう。

米国では、連邦情報セキュリティマネジメント法（FISMA）に基づき、NISTが情報セキュリティに関する標準（FIPS）とガイドライン（SP）を策定して、連邦政府機関は それらを遵守するとともに、その他の法令等に基づき、CMVP やCC の認証を取得した製品を調達しなければならないこととされている。

日本には、そのような法的な枠組みが存在しないし、情報セキュリティ技術に関する公的な文書が存在したとしても、法令に基づいているのかどうか曖昧であり、きちんと体系化されていない。これが、情報セキュリティに関する規制や認定制度、政府調達等における技術基準等がアップデートされず、かつ、国内の適合性評価制度が活用されない原因の一つになっているのではないだろうか。

以上は、個人的な意見であるが、日本にとって、経済安全保障が大きな課題となっている中で、情報セキュリティや暗号モジュールに係る技術標準と適合性評価に係る制度を体系化して、欧米諸国に依存している現状を改善していく必要があると思う。