第3回 FIPS 140-2認定がもたらすユーザーへの恩恵
日本ネットワークセキュリティ協会(JNSA)
暗号モジュール評価基準WG
2005/2/23
 |
暗号モジュールのテストラボに聞く |
今回は特別に暗号モジュールのテストラボであるInfoGard Laboratories, Inc.のKen Kolstad氏にインタビューを受けていただきました。
――まずは簡単な自己紹介をお願いします。
Kolstad 当社は1993年に顧客にITセキュリティの保証サービスを提供するためにカリフォルニア州の中心部に設立されました。サービスを滞りなく提供するために、セキュリティの規格・要件についての深い理解を持っております。われわれの目標は顧客が必要としているセキュリティの認証を、教育およびトレーニングしつつ達成することにあります。独立性、誠実さ、そして信頼を理念としており、最高品質のサービスを提供しております。現在はNIST、Visa International、MasterCard Internationalを含め、カナダ、英国の政府機関からもセキュリティラボとして認識されています。
――ベンダにとってFIPS 140-2認定を取得するメリットは何でしょうか?
Kolstad まず明らかなメリットとしては米国の政府機関に製品を売ることができるようになることでしょう。また、米国以外には、カナダ、イスラエル、英国、シンガポール、台湾、ブラジルなどFIPS 140-2が認識されている国があります。
次に挙げられるメリットとしてはFIPS 140-2の認定を取得すること自体がベンダにとっては良い経験となることです。ベンダは認定を取得するプロセスにおいてセキュリティについて学ぶことができ、製品に対して適切な実装を行うことが可能になります。
――ユーザーにとってFIPS 140-2認定製品を使うメリットは何でしょうか?
Kolstad ユーザーに対するメリットはさまざまあります。まずは認定を取得しているため一社が主張しているだけの安全性ではなくテストによって証明されている安全性を製品から得ることが可能になります。また、システムに関連するリスクを管理することは、ビジネスをするうえで非常に重要です。認定を取得していて、品質が保証されている製品を使用することによってリスクを減少させることができ、また悪い意味での驚きも減らすことが可能になります。
全体を通して、信頼・互換性が確実に得られるということもユーザーにとっては大きなメリットでしょう。
――製品をテストする際に最も難しく、大切なことは何でしょうか?
Kolstad いくつか挙げられますが、特にスケジュール管理とガイダンスですね。スケジュール管理はベンダ、テストラボ、および認定者(NIST/CSE)を含めて行わなければなりません。ベンダに対しては要件を満たすためにどのような手段があるのかをガイダンスしなければならず、同時に他社の知的財産を守らなければなりません。
――NISTおよびCSEが共催しているCMVPはすでに500以上の製品が認定されています。この成功の理由は何でしょうか?
Kolstad 第一の理由として挙げられるのは、すべての米国の政府機関ではFIPS 140-2に認定された暗号モジュールのみしか使用が許可されていないことだと思います。
ほかにも暗号モジュールをテストするラボの認定プロセスの公正さがあります。暗号モジュールのテストラボは別の制度で認定されていますが、ラボがテストをするに当たり十分な知識があるのか、ラボに十分な独立性があるのか、ラボに不備があった際に認定を取り消せること、ベンダの知的財産を守れるかがテストされます。
また、CMVPではベンダが準拠していなければならない規格が明確に定められており、規格が時代遅れにならないように定期的な更新が行われています。テスト要件も明確にされているため、ベンダにとっては何がテストされるのか、テストラボは何をテストしなければならないのかが判断できます。
――日本でもCMVPを確立しようという動きがありますが、重要な点は何だと思われますか?
Kolstad まずは、制度の権威(CMVPでいうNISTおよびCSE)を明確に定めるべきでしょう。権威は技術的な理解、テストラボおよびベンダに対する(ISO 9000に似た)品質の追求、テストラボが顧客およびテストする製品に対するテストを行うための独立性の追求、制度を成立させるために資金および人材が主に要求されます。
ほかにも健全な制度にするために、ベンダに対しての品質を約束するためにテストラボの要件を明確にすること、テストラボが競い合えることが大切です。
――インタビューにお答えいただき、有り難うございました。
|
FIPS 140-2の今後 |
FIPS 140-2という言葉を耳にする機会は今後ますます増えていくでしょう。特に日本でも暗号モジュールの評価制度を確立しようという動きが活発になってきています。なぜFIPS 140-2が重要なのかをベンダ・ユーザーの両方の立場から見据え、目的に沿って活用していくことが今後ますます重要になるのではないでしょうか。
【参考文献】
- National Institute of Standard Technology, FIPS PUB 140-2 Security Requirements for Cryptographic Modules, May 25, 2001.
- National Institute of Standard Technology, The Advanced Encryption Standard Algorithm Validation Suite (AESAVS), November 15, 2002.
- National Institute of Standard Technology, Communications Security Establishment, Frequently Asked Questions for the Cryptographic Module Validation Program, December 18, 2003.
- Ken Kolstad (Director of Operations, InfoGard Laboratories, Inc.), Completed Public Interview, February 12, 2005.
- 山岸篤弘、網島和博、近藤潤一、大熊建司、西原正人、「わが国における暗号モジュール評価制度について」 January 28, 2005.
 |
2/2 |
| Index | |
| FIPS 140-2認定がもたらすユーザーへの恩恵 | |
| Page1 何に対して安心するのか 第三者評価による安全性の証明 「一定」のセキュリティの保証 |
|
 |
Page2 暗号モジュールのテストラボに聞く FIPS 140-2の今後 |
| 関連記事 |
| PKIチャンネル |
| 注目の情報管理方式「しきい値秘密分散法」 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
