CC認証 評価者資格取得

CC認証 評価者資格取得 柴田 和実(エンベデッドソリューション事業部 東日本開発センター ES第3開発部)

2014年2月、エンベデッドソリューション事業部の柴田和実が、CC(コモンクライテリア)認証評価者資格を取得しました。

自己紹介

2010年まで秋田事業所で、機器開発業務に従事してきました。
2011年からは、CC認証取得業務の評価者資格取得のため、CC認証の評価機関に出向し、評価業務(実務)に携わってきました。この実務経験で得た知識・ノウハウを元に、IPAによる資格審査を経て、資格取得に至りました。

評価者資格とは

CC認証業務において、第三者評価の実務を行う人を言います。

資格付与を行うIPAのITセキュリティ評価及び認証制度(JISEC)の規定では、「評価に関する準備、実施及び検査のすべての段階で、ITセキュリティ評価作業を適切に実施できる者として、認証機関から評価者資格を付与された」人と定義されています。

評価者資格取得に必要なこと

実際の評価業務を通じたトレーニングの実績や、情報処理分野における実務経験が必要です。

資格取得に向けたトレーニング

実際の最初に制度自体を理解するための研修に参加し、研修期間終了後は、OJTによる教育を受けました。

OJTでは、まず補助評価者という立場で、実際の評価案件に補助的な役割で携わりました。評価チームの一員として一定の業務範囲をまかされ、より主体的に評価業務にかかわるようになりました。複数の 評価項目にまつわるさまざまな種類の業務を経験しました。

CC認証 第三者評価の手順

評価対象のセキュリティターゲットや仕様、ガイダンスやライフサイクルサポート等、多岐に亘る評価を行います。

セキュリティターゲットとは、セキュリティ要件とセキュリティに関する仕様を記載した文書のことです。製品の機能や目的をかんがみたうえで、何をその製品の脅威とするかが正しく定義されているかを評価します。

次に、詳細設計資料・機能仕様書の記載事項を確認し、セキュリティターゲットで定義された脅威を回避するための設計になっているかを評価します。その後、機器の実際に操作し、機能テスト(機器が正確に動くかの確認)、侵入テスト(脆弱性がないかの確認)を行います。

さらに、操作者が機器を安全に利用できるかを判定する、ガイダンス評価を行います。また、機器そのものの安全性だけでなく、梱包や配送などの手続き(配付手続き)において、データのすり替えや改ざんのリスクがないか、というライフサイクルサポートの観点でも評価します。

トレーニングを終了して

同じものづくりにかかわる業務でも、過去に経験してきた開発と、今回学んだセキュリティ評価とでは、機能に対する考え方が若干異なることが分かりました。開発では、実現したい・必要な機能を実装していきますが、セキュリティ機能はそれらを守るための二次的な機能になります。

そのセキュリティ機能の評価は、脅威への対策に即した実装がされているか、という観点で行われます。「最初に定義された脅威に対し、その攻撃力に応じた対策を、正確かつ完全に実現しているか」を比較しながら評価していきますが、その過程では、「何をもって正確かつ完全と判断したか」という”判断のプロセスそのものを”示すことが求められます。この考え方に慣れるのに、時間を要しました。

業務での生かし方

現在は評価機関に在籍していますが、将来的にはリコーITソリューションズにおいて、評価の実務経験の中で得た知識を、製品設計・開発・評価に生かしたいです。SEが開発業務の限られた時間の中で、評価基準文書等を読みこむ時間を割くことは、難しいと思います。そこで私が、業務において必要な情報、膨大な情報の中でポイントとなる箇所を、チームのメンバーにわかりやすく説明できればと思います。

また、今回は認証の評価者側の視点を身に着けましたので、開発者と評価者の考え方のギャップを埋める役割も果たせると思います。セキュリティの機能は、目的に即しているかが問われるもので、あれもこれも実装すればいいというわけではありません。過剰な機能を排除し、便利さと安全性のバランスをとれる設計のアドバイスを行いたいです。

機器の種類は多岐にわたり、それぞれ目的が異なるため、セキュリティ要件もさまざまです。したがって、評価業務にはただひとつの正解というものがありません。評価の勉強は、これですべてが完了するということはなく、今後も知識習得を続けていくことが大事だと考えています。

 

リコーITソリューションズはリコー製機器の開発において、CC認証取得のためのプロセス整備・実装における機能テストや脆弱性評価等を通じ、リコーのCC認証取得 を支援してきました。今後は、認証取得ビジネスのいっそうの拡大を狙っています。

 

ページトップへ