国が義務付けるST評価って意味があるの？

皆さんの中で「ST評価」という言葉を聞いたことのある人はいますか？

システム開発の用語でSTと言えば、System Test（システムテスト）やStress Test（負荷テスト） という言葉を思い浮かべますが、ここではSecurity Target（セキュリティターゲット）という言葉で使われています。

多くの人は耳慣れないと思いますが、これは情報保護要件を持つ政府系システムを開発する際に受けなければならないとされている、 システムのセキュリティに関する基準です。

STが対象とするのは、

　・OS
　・DBMS
　・通信ソフトウェア
　・ファイアウォール、アクセス制御機器
　・ICカード／リーダ等のハードウェア
　・情報システム

とされており、IT関連製品・システム、またはシステムを構成するうちのセキュリティ製品や部品等が該当します。

それで、これらについてセキュリティ基準が一定要件を満たしているかを審査するのが「ST評価」というものなのです。

実はこのST評価、政府統一基準という2005年12月に発行された指針で定められた、比較的新しいルールなんですよね。
※米国（1985年）や欧州（1991年）で導入され、1999年に国際規格化。

【政府統一基準】
http://www.nisc.go.jp/active/general/pdf/k303-052.pdf

ですから、民間企業がクライアントになるSIでは、ほとんど実施されていないというか、 私の経験では皆無に等しいのではないかと思われるほどお目に掛かることがないシロモノです。

経済産業省のサイトに分かり易いパワポ資料があったので、参考資料として紹介しておきます。
http://www.ipa.go.jp/security//jisec/documents/sm20050304_1_meti_000.pdf

ところで、このST評価。現在のところ、国内で評価が実施可能な機関は次の3社しかないようです。

　・ITセキュリティセンター（JEITA）
　・電子商取引安全技術研究所（ECSEC）
　・みずほ情報総研

　※情報処理機構（IPA）のサイトでは海外機関としてもう1社紹介されてます

さてさて、前置きが長くなりましたが、つまるところこのST評価、実際はどの程度難しく、 有用な審査なのかが評価依頼者となるシステムベンダーの気になるところですよね。

これについて、日本総研が2002年に作成した興味深いレポートでちょっと気になる箇所を見つけたので、ちょこっと紹介します。

【情報セキュリティビジネスに関する調査】
http://www.ipa.go.jp/SPC/report/02fy-pro/report/1515/paper.pdf

▼制度の問題点

• ST作成は外部専門家の支援を受けることが多く、また評価申請に関する費用も発生する。 ベンダは作成に携わる人材を新たに投入する場合もあり、かなりのコスト増につながる可能性がある。
  
  例えば、ICカード用チップのST確認においては、評価費用は約300万円／ 1件程度かかっていると言われており、 対応力に乏しい中小企業クラスでは、 官公庁等の調達でこの精度を義務付けた場合、事実上市場から締め出される可能性も高い。
  
  
• ST確認はSTがISO/IEC15408に基づき作成されていることを評価/確認するにすぎず、 製品がSTに基づいて開発されているかまでは評価しない。
  
  その意味で、認証依頼側から評価価値に対して疑問視する声もある。

このレポートは情報処理機構のサイトにあったので、おそらく同機構が日本総研に調査を依頼したのだと思いますが、 コスト増と有効性について疑問を投げかけています。コストについては、これがシステム開発のST評価なら、 おそらくもっとコストが掛かるでしょう。

残念なことに、私は直接ST評価と関係することはないのですが、米国や欧州では効果的に活用されているかも含め、 是非とも経験者のご意見を伺いたいところです。