IT社会でますます重要さ増すセキュリティ確保（金子浩之 氏 ／ みずほ情報総研・情報セキュリティ評価室長）

　私たちが日々の生活やビジネスにおいて普段利用しているさまざまな製品やサービスは、情報システム、コンピュータ、半導体など、いわゆるIT(Information Technology：情報技術)恩恵を受けています。たとえば、私たちが手にする製品の設計・製造・搬送・使用・廃棄に至るライフサイクルのさまざまなシーンを考えてみると、いずれもコンピュータがネットワークで結ばれ相互に情報が交換され処理された結果として成り立っていることがわかります。
それは、公共サービスや民間サービスでも同様であり、サービスを構成する実際の個々の部分を見ていくとITの関与は無視できず、むしろ多くの社会インフラはITを前提として組み立てられており、もはや補完的な道具ではなくIT無しには成立しないのが現実です。
これらの製品やサービスの目標は、たとえば公共サービスでいうと安定した堅牢(けんろう)な社会基盤の提供、ビジネスシーンではサービスの質・量あるいは効率の劇的な向上、または今までに存在しない新しいビジネススキームの創生、また、一般家庭では場所や時間に拘束されない利便性の獲得といった、それぞれの当事者や関係する人々が求める価値を実現することを目指しています。これらの価値を獲得するための活動の蓄積として、ITがさまざまなサービスの部分に適用され、相互に関連付けられ隅々まで浸透し、いわゆるIT社会が形成されてきました。

　一方、これらの製品やサービスが、本来の価値を私たちに与えることができなくなるという、品質上またはセキュリティ上の問題があちこちで発生し、毎日紙面を賑わしています。このような問題が繰り返される背景として、まだまだ多くの製品やサービスが、実現すべき機能を優先し、技術主導で作られていて、予見されるべき課題への対策が後追いになってしまっているという現実があります。実際のところ、サービスシステム構想の未熟さから生じる脆弱(ぜいじゃく)性、作り方の不全から生じる脆弱性、運用設計のまずさから生じる脆弱性などの影響を事前に把握し対処していくというリスクを考慮したシステム設計が不十分なまま運用されているシステムも多く存在します。

　また、社会システム全体が複雑化するに伴い、これらのシステムをサポートする情報システムも複雑化し、製品やシステムのライフサイクルプロセス間の情報やタスクの受け渡し、システムを構成するサブシステムやコンポーネント間のインタフェース、運用体制が複雑化することによる誤りの起こりやすさなど、脆弱性が生じ得る個所自体も複雑化し、問題が複合化していることも一因と考えます。すなわち、発生した問題への局所的な対応は、また新たな脆弱性が入り込む余地を生み、時としてその脆弱性が顕在化してしまう可能性があります。
このような課題に対して、昨今の官庁における大規模システム調達では、調達の公平性・透明性確保のための分離調達や、受託者固有の技術ではなく汎用技術を使ったシステム化を求め、一方では調達全体を独立した視点で統合的に管理することで全体統制を目指す傾向にあります。後付けの課題解決に対し論理的整合性をもって主体的に取り組む仕組みの一つとして評価できますが、技術面・運用面で統制すべき脆弱性の空間は拡大するため、コストとのトレードオフとなります。

　私は現在、民間企業において、ITセキュリティ評価および認証制度(認証機関は情報処理推進機構(IPA))の評価機関の実務運営に携わり、IT製品や情報システムのITセキュリティ評価を実施しています。この評価の1つの特徴は、Common Criteria(CCという。ISO/IEC15408はこの標準を国際規格化したもの)という国際標準に基づいて実施することであり、国内で認証されたIT製品は、CCRA(Common Criteria Recognition Arrangement)に加盟する欧米などの20数カ国でも認証製品として通用します。
CCは、広く“IT”と名の付く製品・システムのうち、セキュリティニーズが存在するすべてを対象とした標準であり、その対象物のライフサイクル全体をサポートする“汎用的”なセキュリティ標準です。標準が“汎用的”であるということは、製品提供者のセキュリティ保証、および評価機関による評価のいずれにおいても、対象適合のための調整・解釈が何かしら必要となります。
また評価手法としては、これも汎用を目指したCEM(Common Evaluation Methodology。ISO/IEC18045はこの基準を国際規格化したもの)を適用しますが、この基準も評価技法の枠組みと視点を与えることが目的であり、評価の実務では、製品種別やコンポーネント構成ごとに、独自の保証・評価アプローチを適用することになります。製品やシステムを利用する側でセキュリティニーズが明確な場合は、Protection Profile(PPという)を作成しこれに基づいたセキュリティ保証を求めますが、PPへの準拠が求められない場合は、保証範囲と保証レベルを製品提供側が決定します(CCでは７段階の評価保証レベルが設けられています)。
そのため、汎用的な標準・基準であるがゆえの評定基準に対する解釈や認識の差が生じる余地が残り、一方では、それが多面的な視点で評価することを可能とするため、評価において製品提供者が見落としていた脆弱性が発見されることもしばしばあります。また、脆弱性の認識はその脆弱性を顕在化させる攻撃手法とともに刻々と変化していくことから、われわれ評価者側も常に脆弱性情報と攻撃手法のキャッチアップを図り、調査研究を続けていく必要があります。
なお、日本においては、PPはほとんど利用されていません。また、セキュリティニーズを具体的に表現し、要求事項として示すということ自体も不十分であることが、他国の取り組みと比較して見て取れます。このような当事者としての要求事項を明示しない傾向は、昨今の日本の社会風習などさまざまな場面でも指摘されることであり、日本という社会の構造的機能不全を招いている遠因の１つといえるかもしれません。

　その他の特徴として挙げられるのは、私たち評価機関による評価行為は、認証制度の下で行うことから、CCやCEMといった汎用標準・基準の適用は必須であり、対象とするIT製品種別や特性に応じて保証・評価アプローチは異なるものを適用するとはいえ、結果として合格・不合格の評定をしなければならないということです。発見されたさまざまな脆弱性は、保証範囲・保証レベルを踏まえて評定し、残存することを許容するかどうかを決定しなければなりません。
実はこの部分に一番の神経を使います。私たちのアプローチを参考として、脆弱性を見つけ出しこれを識別しコントロールすることの重要性を根付かせ、セキュリティ保証の普及促進に寄与することも、私たち評価機関の使命であると考えています。

　このように、私たち評価機関は、評価対象である製品やシステムのITセキュリティ保証が、国際的にも十分通用するものであるかどうかを確認するために、独立・公正な評価活動を進めています。また、評価実務に適用するCCやCEMは時代とともに改善すべき点も出てきているため、そのブラッシュアップに向けた提言や、最新の評価技術の開発に努めています。
特に、評価の品質の向上と効率化には、資源を集中して取り組んでいます。具体的には、評価対象となり得るIT製品やシステムを広く理解し、より多面的な視点で評定する能力を培うための活動として、関連領域であるセキュリティ監査、システム監査、セキュリティ関連の調査研究、市場分析などの実務経験の蓄積を図るとともに、アカデミックな分野の研究者と課題を持ち寄り、新しい評価アプローチの試行や評価技法の開発などを行っています。
たとえば、ある評価対象のステークホルダー間の目標を調整し、全体論的ゴール指向でセキュリティ保証を実現しこれを評価するためには、セキュリティ要求分析手法、モデル化手法、形式手法などを上流設計段階から適用することが有効と考えており、この実証に関する共同研究を開始しています。
また、CCやCEMにのっとったエビデンス評価と並行して、評価初期段階からの技術調査、脆弱性探索、実機でのテスト、開発者ヒアリング調査も併用する、より現実的なアプローチによる評価手順の試行などを行っています。もちろん、評価対象としてカバリングする製品種別の拡大や啓蒙活動も重視し、IT分野のセキュリティ保証の実現に貢献すべく、日々評価実務運営に取り組んでいます。