「仮想化」をキーワードに情報インフラの世界を考察します。

国が義務付けるST評価って意味があるの?

»

皆さんの中で「ST評価」という言葉を聞いたことのある人はいますか?

システム開発の用語でSTと言えば、System Test(システムテスト)やStress Test(負荷テスト) という言葉を思い浮かべますが、ここではSecurity Target(セキュリティターゲット)という言葉で使われています。

多くの人は耳慣れないと思いますが、これは情報保護要件を持つ政府系システムを開発する際に受けなければならないとされている、 システムのセキュリティに関する基準です。

STが対象とするのは、

 ・OS
 ・DBMS
 ・通信ソフトウェア
 ・ファイアウォール、アクセス制御機器
 ・ICカード/リーダ等のハードウェア
 ・情報システム

とされており、IT関連製品・システム、またはシステムを構成するうちのセキュリティ製品や部品等が該当します。

それで、これらについてセキュリティ基準が一定要件を満たしているかを審査するのが「ST評価」というものなのです。

実はこのST評価、政府統一基準という2005年12月に発行された指針で定められた、比較的新しいルールなんですよね。
※米国(1985年)や欧州(1991年)で導入され、1999年に国際規格化。

【政府統一基準】
http://www.nisc.go.jp/active/general/pdf/k303-052.pdf

ですから、民間企業がクライアントになるSIでは、ほとんど実施されていないというか、 私の経験では皆無に等しいのではないかと思われるほどお目に掛かることがないシロモノです。

経済産業省のサイトに分かり易いパワポ資料があったので、参考資料として紹介しておきます。
http://www.ipa.go.jp/security//jisec/documents/sm20050304_1_meti_000.pdf


ところで、このST評価。現在のところ、国内で評価が実施可能な機関は次の3社しかないようです。

 ・ITセキュリティセンター(JEITA)
 ・電子商取引安全技術研究所(ECSEC)
 ・みずほ情報総研

 ※情報処理機構(IPA)のサイトでは海外機関としてもう1社紹介されてます


さてさて、前置きが長くなりましたが、つまるところこのST評価、実際はどの程度難しく、 有用な審査なのかが評価依頼者となるシステムベンダーの気になるところですよね。

これについて、日本総研が2002年に作成した興味深いレポートでちょっと気になる箇所を見つけたので、ちょこっと紹介します。

【情報セキュリティビジネスに関する調査】
http://www.ipa.go.jp/SPC/report/02fy-pro/report/1515/paper.pdf

▼制度の問題点

  • ST作成は外部専門家の支援を受けることが多く、また評価申請に関する費用も発生する。 ベンダは作成に携わる人材を新たに投入する場合もあり、かなりのコスト増につながる可能性がある。

    例えば、ICカード用チップのST確認においては、評価費用は約300万円/ 1件程度かかっていると言われており、 対応力に乏しい中小企業クラスでは、 官公庁等の調達でこの精度を義務付けた場合、事実上市場から締め出される可能性も高い。

  • ST確認はSTがISO/IEC15408に基づき作成されていることを評価/確認するにすぎず、 製品がSTに基づいて開発されているかまでは評価しない

    その意味で、認証依頼側から評価価値に対して疑問視する声もある。


このレポートは情報処理機構のサイトにあったので、おそらく同機構が日本総研に調査を依頼したのだと思いますが、 コスト増と有効性について疑問を投げかけています。コストについては、これがシステム開発のST評価なら、 おそらくもっとコストが掛かるでしょう。

残念なことに、私は直接ST評価と関係することはないのですが、米国や欧州では効果的に活用されているかも含め、 是非とも経験者のご意見を伺いたいところです。

Comment(4)

コメント

リンデロン

ST評価は全く意味がないと思います.

そもそも海外では15408の取得が政府調達に対して義務化されていたりします.
それに対して,日本では義務化がされていないため,ベンダーが15408の取得を
する意味がとても希薄です.

どうにかIPAの方々が15408を流行らせようとして導入したのがST評価だと思いますが,
ST評価をしても実際に製品がSTを満たすべく開発されているかは誰も保証してくれません.

ですので,ST評価という意味の無いことをして喜んでいるのは日本だけです.

また,ST評価(と15408評価)ができるのはISO 17025に沿った品質保証が
できると認定された試験機関のみです.
そのため,限られた機関しか評価をすることができません.

#酔っぱらっているため少し事実と異なるかも知れません.予めご了承ください.

リンデロンさん、コメントありがとうございます。

 やはりST評価の有用性は疑問を持たざるを得ない状況なのですね。政府調達の場合、ST評価の指定があれば従わざるをえませんが、独力で作り上げたとしても、結局評価機関からNOを突きつけられるリスクもあるわけで(それでも評価報酬として数百万以上を支払う)、だったら同機関に作成支援(コンサル)を頼むしかないというのが現状だと思います。
 このままだと、レポートにあるように、資金力に劣るベンダーは不利ですよね。政府が調達金額とは別にST評価に係る費用を負担してくれるなら、まだマシなんですけど。
 というか、そもそも、その費用を出す必要性も薄いって話でしたね。

中さん
林です。
私もあまり詳しくないのですが、
うちの会社では、省庁案件の時にたまにST評価をしています。
でも民間企業になるとそのメリットを感じるかどうかは、
ちょっと判断が難しいところだと思います。
必要であれば、評価機関の担当者紹介しますよ。

林さん、コメントありがとうございます。
ST評価を行ってくれる評価機関の情報と、だいたいの費用見積りは自前で集まりましたので大丈夫そうです。お申し出ありがとうございます。ウチも人のことを言えた義理じゃありませんけど、まあ「高い」ですよね。でも入札の条件に書いてあるので、仕方ないですね。

コメントを投稿する