セキュリティに関して課題がありますか?
|
サポート
|
お問い合わせ
|
03-4595-0120
ブログ
/
サイバーレジリエンス
Illumio Editorial
Illumio Editorial
2019年8月23日
23分読む

コモンクライテリアとは何か、認定を受ける方法

約 2 年前、私は幸運にも連邦製品マネージャーとして Illumio チームに参加することができました。最初の仕事は、 FIPS 140-2および GSA Section 508 準拠など、連邦政府が要求する必要な製品認証を取得することでした。最近、Illumio Core は Common Criteria と呼ばれるもう 1 つの重要な政府セキュリティ認証を取得しました。この認定により、Illumio は、アクセス制御ポリシーの定義と管理に重点を置いた、エンタープライズ セキュリティ管理の国家情報保証パートナーシップ (NIAP) 標準保護プロファイル、ポリシー管理 v2.1への準拠を認定された初のエンタープライズ セキュリティ ベンダーとなりました

政府機関 (および非連邦組織) が高度な持続的脅威から高価値資産を保護しようとする中で、 セキュリティをネットワーク アーキテクチャから切り離して、ホストベースのセグメンテーションを効果的に導入する必要性が最優先事項となっています。Illumio Core は、セキュリティをネットワークから分離し、ホストでセグメント化することで、重要なアプリケーションがどこで実行されていても保護するセグメンテーション ポリシーを作成し、適用できるようにします。

では、コモンクライテリアとは一体何なのでしょうか?NIAP 保護プロファイルとは何ですか?そして、なぜこれが連邦政府にとって重要なのでしょうか?少し掘り下げてみましょう...

コモンクライテリアとは?

Common Criteria には、民間ベンダーが政府に提供する IT 製品の情報保証 (IA) を評価するために使用される、国際的に認められた一連のセキュリティ標準が記載されています。共通基準承認協定 (CCRA) は、米国、オーストラリア、フランス、英国、ドイツ、オランダ、韓国など 30 か国の加盟国で構成されています。CCRA に基づいて評価された IT 製品はすべての加盟国で相互に承認されるため、企業は製品を一度評価するだけで多くの国に販売できます。これは、保証要件に対する IT セキュリティ製品の機能と特徴の評価の一部です。

セキュリティ評価は厳格かつ包括的であり、承認されたサードパーティの独立したラボによって実施されます。IA テストは、評価対象の製品に出入りする情報またはデータの使用、処理、保存、および送信に関連するリスクを評価するように設計されています。保護プロファイルの一部は、製品がすべてのPP要件に準拠している必要があることです。

コモンクライテリアには、いくつかの重要な重要な概念があります。

  • セキュリティ目標: 評価対象のプロジェクトの機能を明示的に明記する必要があります
  • 保護プロファイル: 特定のクラスの関連製品の標準要件セットに使用されるテンプレート
  • 評価保証レベル: 製品とそのテスト方法を定義します。EALの範囲は1から7で、最大値7、最小値1です
  • 評価対象:コモンクライテリア認証の審査対象となるシステムまたはデバイス
  • セキュリティ機能要件: 固有のセキュリティ機能を参照する要件

 

イルミオコアの場合、評価の重要な部分は、機能豊富な監査およびセキュリティ機能のセットに焦点を当てました。Common Criteria では、ベンダーは、セキュリティ ターゲットの草案を作成することによって評価されるセキュリティ機能要求を定義します。セキュリティターゲット内では、評価の範囲は評価ターゲット(TOE)によって識別されます。Illumio Coreの場合、TOE(または評価範囲)には、 Policy Compute Engine(PCE)Virtual Enforcement Node(VEN)が含まれていました。
 

NIAP 保護プロファイルとは何ですか?

2009 年、米国のコモン クライテリア評価スキームである National Information Assurance Partnership (NIAP) は、すべてのコモン クライテリア認証が承認された NIAP 保護プロファイルから直接セキュリティ要件に準拠することを義務付けるようにポリシーを更新しました。以前は、コモンクライテリアの機能要件は、評価保証レベル(EAL)フレームワークを介して個々のベンダーによって定義されていました。NIAP 保護プロファイルの変更により、コモン クライテリアの機能要件は、特定のテクノロジー クラス(ポリシー管理、ファイアウォール、VPN など)のセキュリティおよびテスト要件に対処するように調整されます。

保護プロファイルに対して評価を受ける製品は、保護プロファイルで指定された機能要件に 100% 準拠する必要があります。保護プロファイルの99%のみに準拠することは受け入れられず、 認証に合格するには完全かつ完全なコンプライアンスが必要です。保護を強化する方法の 1 つは、 完全なエンドポイント セキュリティを確保することです。厳格なセキュリティ要件は、上記のコモンクライテリア認証の厳格かつ包括的な性質を物語っています。それで最後のポイントにたどり着きます...

なぜ政府はコモンクライテリアとプロテクションのプロファイルに関心を持つのでしょうか?

まず、米国の国防機関に対しては、米国政府による情報保証およびIA対応IT製品の取得を規定する米国の国家安全保障政策NSTISSP #11によってコモンクライテリア認証が義務付けられています。要するに、国家安全保障システム (NSS) を保護する目的で国防総省に製品を販売したい IT またはセキュリティ ベンダーの場合は、コモン クライテリアが必要です。 

次に、米国行政管理予算局の IT ダッシュボードによると、米国国防総省 (DoD) は 2019 年度に非機密情報技術契約に380 億ドルを費やす予定です。民間ベンダーが国防総省に IT 製品を販売する際に克服しなければならない最大のハードルの 1 つは、Common Criteria などの必要な政府コンプライアンスと製品セキュリティ認証を取得することです。NIAPは次のように述べています。「米国政府の保護プロファイルに準拠していると主張する NIAP 製品準拠リスト (PCL) に掲載されている製品は、NIST および NSA が適切とみなす最低限のセキュリティ レベルを満たしており、一般に、そのような主張をしていない製品よりも優先されるべきです。」

さらに、NIAP は次のように述べています:「特定の技術分野について承認された米国政府の保護プロファイルが存在するが、保護プロファイルに準拠した検証済みの製品が使用できない場合、買収組織は購入前に、ベンダーに評価と検証のために製品を提出することを要求する必要があります...承認された保護プロファイルに反して。」

ご覧のとおり、NIAP Protection Profiles に基づくコモン クライテリア認証は、商用製品やソリューションの取得に関して、米国政府に対する重要な IT コンプライアンス チェックとして機能します。 

最後に、この重要な成果に対してイル ミオの製品 開発およびエンジニアリングチームのすべての人々、およびイルミオのNVLAPラボとしての優れた仕事をしてくれたシグナコムソリューションズの有能なチームに感謝とお祝いを申し上げます。

イルミオのコモンクライテリアおよびその他の政府セキュリティ認証の詳細については、以下をご覧ください。 

関連トピック

アイテムが見つかりませんでした。

関連記事

Here Be Dragons: 重要インフラに対するサイバー脅威の増大
サイバーレジリエンス

Here Be Dragons: 重要インフラに対するサイバー脅威の増大

世界的な緊張が高まり、国家が支援するグループが公益事業や医療などを標的にする中、2025 年に重要インフラに対するサイバー攻撃がどのように増加するかをご覧ください。

詳細はこちら
最適なサイバーセキュリティベンダーの選び方
サイバーレジリエンス

最適なサイバーセキュリティベンダーの選び方

サイバーセキュリティの専門家から、サイバーセキュリティベンダーを選択する際にチームが考慮する必要がある重要な要素について学びましょう。

詳細はこちら
EDR が失敗した場合: エンドポイント セキュリティにおける封じ込めの重要性
サイバーレジリエンス

EDR が失敗した場合: エンドポイント セキュリティにおける封じ込めの重要性

EDRベンダーは、サイバーセキュリティの滞留時間を短縮し、信頼ギャップの定義を埋めるために、ゼロトラストセグメンテーションを採用する必要があります。

詳細はこちら
アイテムが見つかりませんでした。

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る