第3回「国際セキュリティ標準規格の認証取得」（倉員桂一 氏 ／ フェリカネットワークス株式会社 取締役副社長）

「日本発の技術 進化するICカードと携帯の融合」

非接触ICカードを組み込んだ携帯端末が、交通、通信に限らず買い物その他、日常生活のありようを大きく変えようとしている。何枚もの各種カードのみならず、小銭すら持ち歩かなくても済む。そんな時代を可能にした基本技術である携帯端末向け非接触ICカード技術方式「モバイルFeliCa」の開発とその応用に取り組んでいる倉員桂一・フェリカネットワークス株式会社取締役副社長に、モバイルFeliCa技術開発の経緯、応用の現状、さらにはICカードと携帯機能の融合がどこまで進化するかの見通しなどについて聞いた。

―前回紹介された公的第三者評価とはどのようなものですか？

今回、モバイル FeliCa ICチップファームウェアの開発にあたり、国際的な規格である ISO15408に則った公的第三者評価を受け、認証を取得しました。これは、一般には「CC認証」と呼ばれています。「CC」はCommon Criteriaの略です。

ISO15408は、セキュリティ製品およびシステムの開発や製造、運用などに関する国際標準規格です。情報関連システムや情報関連製品に必要なセキュリティ要件が規定されています。これは、情報技術を用いた製品やシステムが備えるべきセキュリティ機能に関する機能要件と、設計から製品化に至る過程でセキュリティ機能が実現されていることを確認する保証要件を網羅した要件集です。セキュリティについての基本概念の説明とともに、評価対象となる製品やシステムのセキュリティ基本仕様を記述するセキュリティターゲットや、基本仕様のベースとなる文書であるプロテクションプロファイルについても規定されています。情報セキュリティ評価基準として1999年にISOに採択されました。

―規格はどのような構成になっていて、今回どのレベルで認証を取得したのですか？

規格は以下の3つのパートから構成されます。パート1では総則および一般モデル、パート2ではセキュリティ機能要件、パート3ではセキュリティ保証要件が規定されています。

パート3では、評価保証レベルとしては、実装の確からしさの評価方法について、7段階のレベルで保証要件が規定されています。このレベルをEAL と言います。「EAL」はEvaluation Assurance Levelの略です。

AL1は機能テストの保証、EAL2は構造テストの保証、EAL3は系統的テストおよび確認の保証、EAL4は系統的計画およびテスト、レビューの保証、EAL5は準形式的設計とテストの保証、EAL6は準形式的な設計の検証とテストの保証、EAL7は形式的な設計の検証およびテストの保証が必要となります。EAL1～3は一般民生向け、EAL4は政府機関向け、EAL5～7は軍用レベル・政府最高機密機関レベル向けと言われています。

今回モバイル FeliCa ICチップファームウェアではレベル4+を取得することができました。EAL4+の「+」は、規格において規定されたレベルに、いくつかの保証要件を加えていることを示しています。保証要件は、EAL4 + ALC_FLR.1 + AVA_VLA.3です。ALC_FLR.1は基本的な欠陥修正が可能であることを、AVA_VLA.3は中程度の抵抗力を持つことを表しています。AVA_VLA.3の保証は国内では初となる事例です。

―認証取得の意義について聞かせてください。

認証取得により、私たちの製品であるモバイル FeliCa ICチップファームウェアが、FeliCa や「おサイフケータイ」に必要なセキュリティ要件を満足していることを示すことができました。これにより、お客様により一層安心してサービスをご利用いただけるようになりました。

評価機関としてみずほ情報総研株式会社、認証機関として情報処理推進機構(IPA)にお世話になりました。こうしたスキームと協調がなければ、認証取得は実現できませんでした。これからも、国内セキュリティ認証制度の先鞭をつけるよう努力し、国内でのセキュリティ製品開発体制の強化と一層の産官連携体制の構築を目指したいと考えております。

(続く)