近年、わが国では、インターネット等のオープンなネットワークを利用したさまざまな金融サービスが提供されるようになってきている。そうしたなか、金融機関は従来のクローズド・システムでは想定していなかった新たな脅威に対抗するため、高度な情報セキュリティ技術を情報システムに組み込んで対応してきた。その結果、金融機関の情報システムが一層複雑なものとなり、当該システムが一定のセキュリティ要件を満足しているか否かの確認が容易でなくなってきている。
こうしたなか、わが国では、JISECやJCMVPといった情報セキュリティ製品・システムを第三者が評価・認証するという制度的な枠組みが整備されてきている。第三者による評価・認証制度を利用することは、金融機関が、複雑化している情報システムのセキュリティ対策の効果を見極めるうえで有用な手段の1つであると考えられる。ただし、これらは万全というわけではなく、制度の活用に当たってはその内容や限界を正しく認識しておく必要があろう。
本稿では、JISEC等、コモンクライテリアに基づくセキュリティ評価・認証制度と、JCMVP等、FIPS 140-2に基づく暗号モジュール試験・認証制度に焦点を当てて、これらの制度が整備されてきた経緯やその内容を説明する。そのうえで、金融機関がこうした制度を活用するメリットや利用する際の留意点について考察する。
キーワード:暗号モジュール、コモンクライテリア、セキュリティ評価、第三者評価・認証制度、FIPS 140-2、JCMVP、JISEC
掲載論文等の内容や意見は、執筆者個人に属し、日本銀行あるいは金融研究所の公式見解を示すものではありません。