第13回国際コモンクライテリア会議 (ICCC) の報告 パート1(CA Security Reminder) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.17(火)

第13回国際コモンクライテリア会議 (ICCC) の報告 パート1(CA Security Reminder)

特集 特集

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の Joshua Brickman が、コンピュータセキュリティの国際規格のフレームワークを提供する、国際コモンクライテリア会議について詳しく報告します。

--

私が仕事をするうえで大変名誉に感じていることの1つに、2007年以来毎年、国際コモンクライテリア会議 (ICCC) に出席していることがあります。今年のカンファレンスは例年と異なり、新たに組織されたコモンクライテリア・ユーザフォーラム (CCUF) の助けを借りて、カンファレンスに先立つ「事前ワークショップ」が実施されました。今回はワークショップの主要イベント等に関する感想を記し、カンファレンス自体については、また別のブログで報告したいと思います。

CCUFが組織され、コモンクライテリアへの変更を実現すべく、コモンクライテリア運営委員会 (CCMC) がとても熱心にCCUFと協力しているのは嬉しいことです。

ワークショップには、産業界、ラボ、コンサルティング業界、学界から約40名の参加があり、3日間にわたるプログラムが組まれていました。

1日目のアジェンダに含まれていたのは…

・スペインのMiguel Banon氏を司会進行役とした、協力的プロテクション・プロファイル (CPP) に関するディスカッション。「プロテクション・プロファイルの作業を行っているテクニカル・コミュニティのすべてを網羅した一覧が必要」というのが主たる成果でした。これは、控えめに言っても困難な問題です。

・革新とプロテクション・プロファイル開発への対応方法について。これは、一見矛盾した表現に見えるかもしれません。基本的に、4つのケースのうち3つはテクニカル・コミュニティで対応することになりますが、4つ目のケースについては本当の解決には至っていません (共有することでベンダの競争力を低下させる革新)。私は散漫な議論だと感じましたし、この週に取り組んだ他の問題の中には、より重要性が高いものがあったと思います。

2日目は、基本的に分科会の日でした。

・主要セッションの中には、サプライチェーン・テクニカル・コミュニティの最新活動報告、CPPライフサイクル・ステージの定義、およびプロテクション・プロファイルに適切ではない製品の評価も含まれていました。

・私自身、2つのセッションで司会進行役を務めました。 1つはオープン・トラステッド・テクノロジ・フォーラム について、もう1つはエンタープライズ・セキュリティ・マネジメント・テクニカル・コミュニティについてのセッションでした。

・「ユーザコミュニティに対する『EALなし』戦略の影響と消費者の受け止め方」というセッションには出席できませんでしたが、CCUFのポータルにMatt Keller氏が掲載している内容によると、このセッションによって「グローバル・トランジション」がカギだということが分かるそうです。言い換えれば、すべてのスキームがEALで行われた評価の価値を認識したうえで、EALが何より優れているというわけではないと取得者を教育しておけば、この戦略は上手くいくということです。

3日目にはCCDBがCCUFに参加し、私達は進捗状況や推奨事項についてディスカッション行うとともに、何より重要なこととして質問をすることができました。

・ここでもCCDBが意表を突いて、「ファジング」(体系的な脆弱性の発見)およびこれを各ラボで反復可能にする方法を検討してほしいと言ってきました。参加者の大半は、そんなことができるとも思いませんでしたが。実際のところ、ラボが採用する脆弱性テストのアプローチがそれぞれ独自性につながっているのです。

・事前にいくつかの質問をCCDBに送っていましたので、セッションでは活発な討論を行うことができました。質問内容は

「複数の国にまたがるテクニカル・コミュニティ (TC) と単一スキームのTCについて。 ここでのポイントは、国によっては国際的認定を求めない固有の理由があるのかもしれないということです。一方、CCDBにとって重要なのは、テクノロジ・タイプごとに1つのテクニカル・コミュニティが存在することです。」

「CCUFの認知 ― CCのポータルにリンクが張られます。スキームの多くもリンク掲載に同意しています。」

「CCの次のバージョン ― マイナーアップグレード」

私は、TCを協力的プロテクション・プロファイルにする方法について質問しました。David Martin 氏(CCDB委員長)からは、CCDBに手紙を送ってくれれば投票を行うとの回答がありました。ですので、私のESMテクニカル・コミュニティについては、そのようにさせていただきます。

どうやら、こうしたワークショップをCCDBミーティングに合わせて年2回開催したい考えのようです。次のブログでは、カンファレンス自体がどうであったか、そして重大発表についてレポートします。

(Joshua Brickman)

筆者略歴:コモンクライテリアの専門家として、CA Technologies の多数の製品を牽引する他、CAのアクセシビリティ・プログラムにも関わる。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  10. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×