Views: 112
ウラノス・エコシステム運営事業者の認定
GビズIDなどの政府提供の認証基盤と民間の認証サービスとの連携を進め、企業や個人がシームレスに利用できる環境を整備することが、ウラノスエコシステムでデジタルデータ連携基盤を実現するための前提だと思います。意識されておられる方は少ないですが、ペポルのプロバイダーの証明書は、オープンペポルから発行してもらっていますし、デジタル庁に設けられたペポルオーソリティは、オープンペポルの下部組織です。日本のデジタルデータ連携基盤が海外依存では、いかがなものかと思います。
この視点がないまま、コネクタの利用の議論をしていても、企業IDは、欧州のGaia-XやCatena-Xから発行してもらって、となってしまいます。 かといって、製品サービスのセキュリティが守備範囲のIPAがこれを担うという経産省の資料には無理があると思います。
1. セキュリティ評価の国際標準と国内認定機関
データ連携システム運営事業者の認定に関して、適任な認定機関を選ぶ際には以下のポイントを考慮する必要があります:
-
ISO/IEC 15408 (Common Criteria)の認定:
-
適用範囲と目的: ISO/IEC 15408は、製品やシステムのセキュリティ機能や能力を評価するための国際標準です。データ連携システムが特定のセキュリティ要件を満たしていることを客観的に証明するために有用です。
-
認定機関の役割: IPA(情報処理推進機構)は、日本におけるISO/IEC 15408の認定機関です。IPAは、日本国内での情報セキュリティに関する推進活動を行い、ISO/IEC 15408の評価や認定を適切に実施する組織です。https://www.ipa.go.jp/security/jisec/about/faq.html
-
-
ISO/IEC 27000シリーズの認定:
-
適用範囲と目的: ISO/IEC 27000シリーズは、情報セキュリティマネジメントシステム(ISMS)に関する国際標準であり、組織全体の情報セキュリティ管理体制が適切に構築・運用されていることを確認するための枠組みです。
-
認定機関の役割: JIPDEC(日本情報経済社会推進協会)は、日本におけるISO/IEC 27000シリーズの認定機関です。JIPDECは、企業や組織がISMSを適切に構築し、認証を受けるためのプロセスをサポートします。https://www.jipdec.or.jp/library/word/csm0kn0000000cau.html
-
適任な認定機関の選定理由:
-
データ連携システムのセキュリティ評価においては、ISO/IEC 15408の認定(IPA)が重要:
-
データ連携システムは、そのセキュリティ機能や能力を客観的に評価する必要があります。ISO/IEC 15408は、そのような技術的なセキュリティ要件を評価するための国際的な標準であり、その評価と認定が信頼性の高い裏付けとなります。IPAは日本国内でのISO/IEC 15408の認定を行う機関であり、国内外での認知度も高いです。
「ITセキュリティ評価及び認証制度 (JISEC:Japan Information Technology Security Evaluation and Certification Scheme)」とは、IT関連製品のセキュリティ機能の適切性・確実性を、セキュリティ評価基準の国際標準であるISO/IEC 15408に基づいて第三者(評価機関)が評価し、その評価結果を認証機関が認証する、わが国の制度です。本制度は主に政府調達において活用されています。
現在IPAが本制度の認証機関として、JISECを運営しています。
本制度の意義
そのIT製品の評価で用いられるセキュリティ評価基準は、国際標準(ISO/IEC 15408)です。つまり、調達者はIT製品の調達時に、この共通的な要求仕様表現を用いて、要求仕様を明確に製品提供者に伝えることができます。さらに、認証製品の中から、共通の表現で示された仕様により、セキュリティ機能を比較し選択することが可能となります。
また、わが国は同様の制度を持つ他の国々と認証製品を相互に受け入れる協定に参加しています。このため、国内で認証を受けた製品は、協定に参加している各国においても認証された製品とみなされます。国内ベンダーの国際市場競争力の確保においても本制度が利用されています。 国際的な協定については、下記関連情報をご参照ください。
IPA 独立行政法人 情報処理推進機構
-
組織全体の情報セキュリティ管理体制の評価においては、ISO/IEC 27000シリーズの認定(JIPDEC)が適切:
-
サービス事業者が運営するシステムの情報セキュリティ管理体制が適切に構築されているかを評価する場合、組織全体の情報セキュリティマネジメントシステム(ISMS)の認証が重要です。ISO/IEC 27000シリーズは、そのようなISMSの要件と実践ガイダンスを提供し、JIPDECは日本国内での認証を行う主要な機関です。
したがって、データ連携システムのセキュリティ機能や組織全体の情報セキュリティ管理体制の評価においては、それぞれの規格と認定機関が提供する特性と適用範囲を考慮し、適切な認定機関を選定することが重要です。
JPIDECでは、JIPDECトラステッド・サービス登録事業について、下記のように紹介しています。
世界的なデジタル革命の進展の中、インターネット上の情報の真正性を担保する電子署名等のトラストサービスの重要性が増大しています。また、サイバーセキュリティの観点から、電子メール・Webサイトの改ざんやなりすましへの対策にも注目が集まっています。欧州では、2016年7月にeIDAS規則が全面施行され、トラストサービスの適合性評価の仕組みが制度化されました。
一方、我が国においても、クラウドを活用した電子契約サービス等が急速に普及する中、電子文書の真正性を担保する電子署名等の重要性が再認識されているところです。
JIPDECは、JCAN証明書の発行等を通じて、電子契約サービス等に用いられる電子署名の信頼性確保に取り組んできました。その結果として、多種多様な電子契約サービスが出現してきましたが、利用者(個人,企業等)にとっては、それらの信頼性に対する情報の不足が顕著となっています。すなわち、電子署名等を利用する各種サービスの選択のための情報提供が必要となっています。
このため、JIPDECは、電子署名等に必要な電子証明書を発行するサービス(認証局並びに利用者本人に電子証明書を確実に渡す仕組み(電子証明書取扱業務)及びそれらを活用するクラウドサービス(電子契約サービス等))を審査し、その信頼性をわかりやすく公表する『JIPDECトラステッド・サービス登録』を行っています。
電子契約サービス等を提供する事業者は、『JIPDECトラステッド・サービス登録』を通じて、利用者に安心してご利用いただけるサービスであることを対外的にアピールできます。
なお、JIPDECの審査員は、ドイツ適合性評価機関の審査員資格TÜViT eIDAS/ETSI Auditor(Trust Service Provider)を有しております。これにより、EU域内で認定された適格電子証明書等を発行するトラストサービスに加え、電子署名等を活用するアプリケーションサービスやリモート署名の審査に関する力量を有していることが客観的に認められています。
JIPDEC
運営事業者のセキュリティ評価認定に関して、以下の観点から選択することが推奨されます:
-
ISO/IEC 15408 (Common Criteria)の認定(IPA):
-
適用範囲: 特定の製品やシステムのセキュリティ機能や能力の評価。
-
目的: 技術的なセキュリティ要件を満たしているかどうかを客観的に証明する。
-
認定機関: IPA(情報処理推進機構)が日本国内でのISO/IEC 15408の認定を行う。
-
-
ISO/IEC 27000シリーズの認定(JIPDEC):
-
適用範囲: 組織全体の情報セキュリティ管理体制の評価。
-
目的: ISMS(情報セキュリティマネジメントシステム)の構築・運用が適切かどうかを確認する。
-
認定機関: JIPDEC(日本情報経済社会推進協会)が日本国内でのISO/IEC 27000シリーズの認定を行う。
-
推奨:
-
もし、運営事業者全体の情報セキュリティ管理体制の評価が主眼であれば、ISO/IEC 27000シリーズの認定を受けることが適切です。JIPDECが提供するISMSの認定は、組織が情報セキュリティを維持し、適切に管理していることを証明するための強力な手段です。
-
もし、特定のデータ連携システムのセキュリティ機能や能力を客観的に評価したい場合は、ISO/IEC 15408の認定を受けることが適切です。IPAが提供するCommon Criteriaの評価は、技術的なセキュリティ要件を満たしていることを証明するために役立ちます。
運営事業者がセキュリティを維持し、適切に管理しているかを客観的に評価する国際標準は、ISO27000シリーズです。
スライド7では、この運営事業者の認定機関としてIPAを経産省が審査する形態が定義されていますが、国際標準に従った認定機関を審査するといった観点からは、経産省の役割は疑問です。
2. 日本におけるトラストサービス関連の認証制度
JIPDEC(一般財団法人日本情報経済社会推進協会):
JIPDECは、情報セキュリティに関する認証を行う機関であり、個人情報保護や情報セキュリティマネジメントシステム(ISMS)に関する認証を提供しています。
企業の電子証明書を発行するための認定も行っており、これは欧州のQTSPに類似する役割を果たしています。
日本の電子署名法:
日本には「電子署名及び認証業務に関する法律」(電子署名法)があり、電子署名の法的効力を規定しています。この法律に基づき、電子署名を提供する事業者が認定されます。
認定認証事業者は、信頼性の高い電子署名を提供するための基準を満たしていると認定され、政府が公的に認める形となります。
GビズID:
GビズIDは、日本政府が提供する統一認証基盤であり、企業や個人が行政サービスにアクセスするためのIDです。
GビズIDを通じて、各種行政手続きや電子申請を行うことができ、セキュアな認証が保証されます。
3. 日本の認証制度と欧州のQTSPの違い
法的枠組みの違い:欧州では、eIDAS規則に基づくQTSP制度があり、トラストサービスの提供者が一定の基準を満たすことが求められます。日本では、電子署名法に基づく認定認証事業者制度がありますが、これらの枠組みには細かな違いがあります。
認定プロセス:欧州のQTSP認定は、厳格な監査と評価プロセスを経て行われます。日本の認定認証事業者も高い基準を求められますが、そのプロセスや要件には若干の違いがあります。
4. 政府やIPAの役割
日本政府やIPAが中心となり、以下のような施策を進めることが考えられます。
国際標準との整合性:
国内の認証制度を国際標準(例えば、eIDAS規則)と整合させ、国際的な認証基準に準拠したトラストサービスを提供する。
認証制度の強化:
JIPDECや他の認証機関を通じて、トラストサービスプロバイダーの認定制度を強化し、信頼性の高い電子証明書の普及を促進する。
連携の促進:
GビズIDなどの政府提供の認証基盤と民間の認証サービスとの連携を進め、企業や個人がシームレスに利用できる環境を整備する。
普及と啓発:
認証サービスの重要性や利用方法についての普及啓発活動を強化し、利用者の認識を高める。
これにより、日本におけるトラストサービスの信頼性と普及が進み、国内外でのビジネスや取引の円滑化が期待されます。
コメントを残す