Internet Watch logo
記事検索
最新ニュース

IPA、暗号化製品の認証制度を4月に開始


「暗号モジュール試験及び認証制度」の概要

「暗号モジュール試験及び認証制度」の流れ
 情報処理推進機構(IPA)は、暗号化機能を持つ製品がセキュリティを確保しているかどうかを認証する「暗号モジュール試験及び認証制度(JCMVP:Japan Cryptographic Module Validation Program)」を2007年4月に開始する。IPAが22日に開催した「2006年下半期全体事業説明会」で明らかにした。

 JCMVPの認定対象は、暗号アルゴリズムを実装した製品で、具体的には暗号化ソフトやICカード、USBトークン、ルータなどが挙げられる。JCMVPは、これらの製品が提供する暗号化機能や署名機能が正しく実装されていることを確認するほか、鍵やID、パスワードなどの重要情報のセキュリティが確保されていることを試験・認証する。

 JCMVPの業務の流れとしては、ベンダーが試験依頼と認証申請を行なう。試験機関では、試験結果の報告書を認証機関に提出し、認証機関はそれにもとづいて認定証を発行する仕組み。試験ではまず、暗号アルゴリズムに質問ファイルを与え、その回答を照合・判定する。そのほか、暗号モジュールの物理的セキュリティや暗号鍵の管理状況など11分野で試験する。

 暗号モジュールの認証業務はIPAが担当。試験業務も当面はIPAが兼任するが、2007年度後半をめどに民間企業が担当する予定だ。認証業務に必要な費用は26万2,500円~、試験業務については実費だが「数百万円単位」(IPA)。試験期間は2~3カ月としている。

 IPAの仲田雄作理事は、JCMVPの必要性を次のように説明する。「暗号アルゴリズムが正しく実装されているかどうかは、ユーザーで判断することが難しい。ベンダーが大丈夫と言っても、不安に感じるユーザーは少なくない。この制度では、第三者機関が暗号モジュールの実装を保証するため、ユーザーは安心して暗号モジュール製品を利用できるようになる」。

 一方、認証を受けるベンダー側にもメリットがある。第三者機関に認証されることによりベンダーは、製品に認定書を付与することが可能となる。そのため、自社製品がセキュリティを確保していることをアピールでき、類似製品との差別化が図れる。また、政府の電子調達に対して、JCMVPで認証された暗号モジュールとして提供することで、政府が採用しやすくなるとしている。

 IPAが22日に開催した「2006年下半期全体事業説明会」ではこのほか、ソフトウェア開発支援事業の戦略を発表。2007年2月をめどに、IPAに届け出されたウイルスやスパイウェアの動作内容および対処法などの解析情報を公開するデータベースを公開するとした。


「暗号モジュール」の概要 「暗号モジュール試験及び認証制度」の対象製品

関連情報

URL
  情報処理推進機構(IPA)
  http://www.ipa.go.jp/


( 増田 覚 )
2007/01/22 20:18

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.