情報処理推進機構(IPA、藤江一正理事長)は、暗号モジュールのセキュリティ性能を試験・認証する「暗号モジュール試験及び認証制度(JCMVP)」の普及に力を注いでいる。JCMVPと、同等の制度である米「CMVP」との連携を強化し、暗号モジュールが日本と米国の両方のセキュリティ要求を満たしていることを簡単に認証することができる仕組みづくりに取り組んでいる。

セキュリティセンター
情報セキュリティ認証室
近藤潤一
室次長
 JCMVPは、ゲートウェイやPCIカードなどのセキュリティ製品を対象に、暗号アルゴリズム(暗号鍵)が適正に実装されているかどうかを確認するものだ。IPAは、ECSEC Laboratoryなどの試験機関と連携して試験を実施しており、合格した製品のメーカーに「暗号モジュール認証書」を発行する。メーカーは、「暗号モジュール認証書」を取得すれば、第三者機関によって自社製品のセキュリティ性能が確認されたことを、販売会社やユーザー企業に対してアピールすることができる。

 IPAでJCMVPに携わるセキュリティセンター情報セキュリティ認証室の近藤潤一室次長は、「メーカーが安全だとアピールする製品でも、IPAで試験を行うと、問題点が発見されることが少なくない。セキュリティを確保するために、メーカーの自己評価にとどまらず、第三者評価を実施することが重要だ」と、JCMVPの必要性を強調する。IPAでの試験は、申請からおよそ3か月で完了し、比較的短い期間で認証を取得することができるという。

 IPAは、2007年からJCMVPを展開している。現在、JCMVPと、米国の国立標準技術研究所であるNISTが展開する同等制度「CMVP」との連携を強化しようとしている。暗号モジュールが日本と米国の両方のセキュリティ要求を満たしていることを簡単に認証することができるよう、両制度の一本化を推し進めているところだ。

 近藤室次長は、「2008年、オランダの研究者が、暗号アルゴリズムのぜい弱性を利用し、ロンドンの交通機関で使われるICカード『オイスターカード』を複製することができることを実証した。こういった事故を防ぐために、メーカーに、ぜひIPAの制度を活用し、セキュリティ確保に取り組んでもらいたい」としている。(ゼンフ ミシャ)