製品安全認証のコスモス・コーポレイション - 電気、医療、機械、EMC試験、認証、各種申請代行、17025認定校正はコスモスにおまかせください。

MENU

ITセキュリティ

インターネットやコンピュータの利用が増加する中で、情報の漏洩やウイルスへの感染等を防ぐための情報セキュリティ対策は、非常に重要になっています。このため、国際規格である ISO/IEC 15408 に基づいたIT製品のセキュリティ機能の評価が、製品調達の要件となることがあります。また、欧州では、EU域内での電子取引の促進を目的として、eIDAS規則に基づくトラストサービスがはじまっています。
弊社は、ドイツのセキュリティ評価・認証機関である TÜV Informationstechnik GmbH(TÜViT)の日本現地パートナーとして、TÜViT の様々なサービス(Common Criteria(ISO/IEC 15408)評価、認証局の監査・認証、スマートカードのセキュリティ評価、トラストサービスの適合性評価等)を提供しています。
そのほか、各種セミナーの実施や、ITセキュリティに関する調査・翻訳サービスも提供しています。

 

IT製品のセキュリティ評価

ISO/IEC 15408(Common Criteria(CC))評価

CC (Common Criteria) は、情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格です。CC評価は情報技術製品・システムのセキュリティ機能を対象としています。
多くの場合、公的機関の購買仕様書に要件として記載されます。日本でも、経済産業省が、安全性・信頼性の高いIT製品等の利用推進の取組の一つとして、「IT製品の調達におけるセキュリティ要件リスト」を策定しています。(平成26年5月19日公表)

TÜViT は、400以上のプロジェクトにてCC評価を行った実績があり、世界でも最大かつ最も経験豊富な評価機関の1つです。また、ドイツと日本の両方のCCスキームにおいて、評価機関として認定されています。
評価できる製品は、純粋なソフトウェアコンポーネント(ファイアウォール、データベースシステムなど)、スマートカードの部品(スマートカードリーダー、スマートカード、OSなど)から純粋なハードウェア評価(スマートカード用IC、ASICを、など)まで多岐に渡ります。
特に生体認証装置、データベース管理システム(DBMS)、スマートカードのセキュリティ評価においては長年の経験と実績があります。また、スマートグリッドに必須となるスマートメータの CC 評価を実施することも可能です。

TÜViTが日本のスキームで承認を受けている保証コンポーネントの範囲
プロテクションプロファイルの評価: クラスAPE
セキュリティターゲットの評価: クラスASE
評価保証レベル: EAL1・EAL2・EAL3・EAL4

スマートカードに関しては、CC評価の他に金融系評価(VISA、Master、Europay等)や、最新の脆弱性に関する対策のセキュリティ評価・技術相談・ワークショップを実施することが可能です。金融系の評価については、電子決済システムの認定セキュリティ項を参照ください。

FIPS140-2 暗号モジュールおよび暗号アルゴリズムのテスト

FIPS PUB 140-2は、米国の暗号モジュールのセキュリティ要件であり、暗号モジュールのテストのためのデファクトスタンダードです。この規格は、米国、カナダの政府調達の基準となっています。FIPS 140-2認定を取得することで、その製品が第三者評価による安全性の証明となります。

TÜViTは、米国NIST の認定プログラム(NVLAP)から「暗号及びセキュリティ試験(CST)」の試験機関として認定を受け、これにより米国(NIST)とカナダ(CSEC)のCMVP/CAVP の試験機関としてFIPS PUB 140-2 に基づいた暗号モジュール試験/暗号アルゴリズム試験を行うことが可能です。

CAVP(暗号アルゴリズム検証プログラム)

暗号アルゴリズム検証プログラム(CAVP)は、FIPS認定およびNIST推奨の暗号化アルゴリズムとその個々のコンポーネントの検証テストを提供します。暗号アルゴリズムの検証は、暗号モジュール検証の前提条件となっています。

CMVP(暗号モジュール検証プログラム)

米国のNIST(National Institute of Standards and Technology)およびカナダのCSE(Computer Security Establishment)が開催している制度。
暗号モジュールがFIPS 140-2に準拠していることを確認し認証を付与する。

セキュリティラボ 組込みシステムのセキュリティ分析

機密データを保護するために、チップカード技術に基づいたハードウェア・セキュリティ・モジュールと製品が、ますます使用されており、それらは厳しいセキュリティ要件を満たさなければなりません。
この目的のためにTÜViTセキュリティ研究室は、対応するテストと包括的なセキュリティ分析を提供します。TÜViTによって提供されるサービスの基本は、DIN EN ISO / IEC 17025により、ドイツの認定機関によって認定されています。

テストおよび対策手順のためのフレームワークの条件は、例えば、Common Criteria、FIPS PUB 140-2のような国際規格、仕様による定義か、または国内および国際的な銀行業界の仕様、あるいは、必要に応じて個別に合意した内容です。

非常に多様な範囲の攻撃方法を用いて、可能な脆弱性について製品を調査します。純粋なハードウェア・セキュリティに加えて、暗号アルゴリズムの安全な実装(例えばRSA、楕円曲線)は、不可欠な重要性です。これを確立するために、セキュリティ研究室にて、必要なセキュリティ対策の実装の攻撃に対する耐性がチェックされます。用いられる方法は、障害の誘導(例えばレーザーによる)、及びサイドチャネルを含む分析等のSPA(単純電力解析)、DPA(差分電力解析)およびDFA(差分故障解析)です。また、調査は、接触または非接触製品に対して行うことができます。

評価手続きが完了すると、分析とその結果を文書にした詳細なテストレポートを受け取ります。 レポートはその後必要と考えられる認証手続きに使用することができます。

  • サイドチャネル解析
    電力解析(SPA、DPA)
    電磁波解析(SEMA、DEMA)
    テンプレートの攻撃
  • フォールトインジェクション
    レーザーフォールト・インジェクション(LFI)
    電圧と周波数の操作
    差動故障解析(DFA)
  • 物理的なセキュリティの分析
  • ソースコード解析
  • 測定、テスト、セキュリティは既存の規格や仕様に対して分析

適合性確認試験

適合性の確認は、セキュリティ関連のIT製品やITシステムの重要な要件です。この検査の証明書は、公的機関からの受注、承認を受けるための基準となっています。情報セキュリティの連邦庁(BSI)によって認識された検査機関として、TÜViTは、ITの適合性をテスト、確認し、証明します。

TÜViT は、BSIが発行する Technische Richtlinie の試験機関として登録されており、BSI-TR-03104 や、BSI-TR-03105 の適合性評価試験を実施することが可能です。
弊社では、評価レポート発行後の認証書の発行もサポートいたします。

(例)
ICAOのe-passport
ドイツ IDカード(NPA)
ヘルスケアカード 等々

電子決済システムの認証セキュリティ

ドイツでの電子決済システム内で使用されるコンポーネントは、EMVCoか、ドイツの銀行業委員会のセキュリティ基準を満たし、かつ、対応する承認が必要です。 TÜViTは、認定セキュリティ評価者として、これらの承認手続きを行います。

また、EMVCo、マスターカード、ビザ、JCBとアメリカン・エキスプレスの会社の主な目的は、チップベースの電子決済システムの相互運用性とEMV仕様の履行を確保することです。
TÜViTは、EMVCo、そのメンバーおよびドイツの銀行業委員会からセキュリティ評価者としての認定を受けており、システムの基礎となるハードウェアのセキュリティ、プラットフォーム(ハードウェア、オペレーティングシステムを含む)、および、電子決済システムで使用するためのその適合性のために全体としての製品を決定するために、機能テストおよびセキュリティ評価を行います。検査によって国内および国際的な銀行業界の要件が満たされていることを確認します。

EMVCo:Europay、MasterCard、Visaが設立した金融取引用ICカードの仕様を推進する会社。
EMV仕様:EMVCo社が推進する金融取引用ICカードの関連仕様。国際的デファクト・スタンダード。

 

データセンターの評価

IoT機器の急速な増大により、収集したビッグデータ活用による新たなビジネスチャンスの創出に大きな注目が集まっています。増加し続ける企業のデータ。ビッグデータ時代と呼ばれる現在、大量の情報の保存場所と情報流通に関するインフラ—データセンターが欠かせないものとなってきています。

セキュアなインフラ 重要インフラのセキュリティ評価

TÜViT では、独自にデータセンターのセキュリティ規格である TSI(Trusted Site Infrastructure)規格を発行しており、データセンターの第三者評価を実施することが可能です。これまでに、ドイツの D-TRUST や IBM、ミュンヘン空港等のデータセンターのセキュリティ評価を実施した実績があります。

エネルギー効率 データセンターにおけるエネルギーの効率的な利用

データセンターの運転は全世界のエネルギー消費量の約2パーセントを占めています。エネルギーをより効率的に使用することは、資源を節約し、イメージを強化し、競争環境の中で成功したポジショニングに貢献します – これはTÜViTのTrusted Site eEfficiency(TSe2)のテストおよび認定プログラムの目的です。このプログラムは、データセンター事業者のエネルギー効率の継続的な改善を可能にするシステムやプロセスの開発をサポートします。

TÜViTからTrusted Site eEfficiency(TSe2)プログラムは、エネルギーマネジメントシステムの国際規格(ISO 50001)と欧州規格EN 16001に基づいて措置と構造を定義しています。Trusted Site eEfficiency(TSe2)内で、TÜViTは成熟度レベルの認証を受けた定期検査を提供します。これらの検査は、エネルギー効率の持続可能な最適化を促進してきたという証拠を提供します。

TÜViTは、TSe2の枠組みの中で、組織やデータセンターの既存のエネルギーマネジメントシステム(EnMS)を評価し、現在のエネルギー監視方法を文書化します。エネルギー利用効率(EUE)に関する信頼性の高い値も決定されます。Trusted Site eEfficiencyプログラムは、仮想化やサーバの使用率のレベルの分析とともに、サーバとアプリケーションの棚卸しも含んでいます。 TÜViTはまた、欧州連合(EU)の「行動規範」とITU-T勧告L.1300に従う「ベストプラクティス」を評価します。

 

システム・アプリケーション

ペネトレーションテスト(侵入試験) 脆弱性の検出と攻撃の防止

企業や公的機関のネットワークへの攻撃は着実に増加しています。
TÜViT では、ITシステムのセキュリティの脆弱性の検出と攻撃の防止のため、CA/Browser Forumの”Baseline Requirement for the Issuance and Management of Publicly-Trusted Certificates (BRG[19])”に適合したネットワーク侵入試験及びネットワークセキュリティの監査の実施が可能です。

この試験は、ITシステムのセキュリティが外部の脅威によって危険にさらされているか、または、ITセキュリティが現在セキュリティ対策によって保証されているか否かの程度を確認するために使用されます。

ITシステムの機能に操作または損傷を与える攻撃を行う可能性は多種多様です。
ドイツの連邦政府のコンピュータと通信のセキュリティ担当部門(BSI)の研究では、ネットワークを通じた攻撃とソーシャルエンジニアリングに特に注意を払うべきです。

ネットワークを介した攻撃

「ネットワークを介した攻撃」は、ネットワークコンポーネント、コンピュータシステム及び/又はアプリケーションに用いるネットワークプロトコルの機能を使用して行われる攻撃を指します。このタイプの攻撃は、ハードウェアおよびソフトウェアの脆弱性や不備につけこみます。ネットワークを介した攻撃には、ポートスキャン、IPスプーフィング、盗聴、セッションハイジャック、DoS攻撃、バッファオーバーフローや書式文字列攻撃、オペレーティングシステムとアプリケーションシステムやネットワークプロトコルにおけるその他の脆弱性を利用した攻撃などを含みます。

ソーシャルエンジニアリング

いわゆるソーシャルエンジニアリング攻撃は、コンピュータやネットワークの管理者や利用者、また、その関係者などから、話術や盗み聞き、盗み見などの「社会的」な手段によって、パスワードなどの保安上重要な情報を入手すること。この技術を用いた攻撃シナリオのバリエーションは非常に広汎にわたります。

認証局認証とタイムスタンプ局(TSA)認証 インターネット上での通信

電子証明書を発行する認証局(CA)とタイムスタンプ局(TSA)は、インターネット上の信頼できる電子通信のための基礎を提供します。CAとTSAは、認められた基準–特に、技術的ETSI仕様は遵守しなければならないと世界中で認識されています。

TÜViT は、ドイツの認定機関であるDeutsche Akkreditierungsstelle GmbH(Dakks)に認定されており、ETSI TS 102 042、ETSI TS 101 456(適格証明書)及びETSI TS 102 023(タイムスタンプ)に従い、電子証明書を発行する認証局(CA)、タイムスタンプ局(TSA)のマネジメントシステムの認証を行うことが可能です。TÜViTのETSI認定により、認証局(CA)とタイムスタンプ局(TSA)は、仕様の履行を証明することができます。

初回認証取得後の2年目、3年目の更新審査については、TÜViT よりリード監査員資格を取得した弊社監査員のみで対応することができ、監査に係わるコストの削減が可能です。

 

トラストサービスの監査

トラストサービスの適合性評価

2014年8月にEU(欧州連合)で、セキュアな電子取引の促進を目的とした「eIDAS規則」が発効しました。これにより、EU域内での電子署名およびその他のトラストサービスの相互運用が実現され、EU内での国境を越えた電子取引、権利の保証が可能になりました。

TÜViT は、ETSI規格審査を実施する適合性評価機関に認定されており、トラストサービスプロバイダーが提供する欧州eIDAS規則 (EU) No. 910/2014で規定されたトラストサービス(電子署名-リモート署名を含む、eシール、タイムスタンプ、eデリバリー、検証サービス、ウェブ認証サービス、長期保存サービス)につき、eIDAS規則およびETSI TS/EN規格への適合性評価を行うことが可能です。

また、トラストサービスに関するワークショップも提供可能です。これにより、遵守すべきeIDASの要件とETSI規格の専門知識を得ることができます。

 

セミナー・調査・翻訳

各種セミナーの実施

実施できるセミナー例
スマートメータ評価の最新動向
欧州における電子署名の最新動向 等

動向調査

eIDシステム、スマートグリッド等、海外、におけるITセキュリティの動向を調査いたします。

<セミナー及び調査の実績>
欧州クロスボーダー認証
欧州の動向-電子署名からeIDAS規則
欧州の情報セキュリティ認証制度
欧州の電子署名・認証・タイムスタンプの動向
電子証明書およびサーバ署名

ITセキュリティに係わる翻訳

海外規格・技術文書の翻訳(英語->日本語、日本語->英語)も行います。

詳細はお問い合わせください。

PAGETOP
Copyright © Cosmos Corporation All Rights Reserved.