「Xaica-α®(ザイカアルファ)」がセキュリティ評価にてISO/IEC 15408認証を取得 〜接触・非接触コンビ型ICカードとして世界初の認証取得〜
ニュースリリース/NTTデータ
2005年2月 4日
株式会社NTTデータ
(株)NTTデータが開発・販売を行っている接触・非接触(TypeB)コンビネーション型ICカード「Xaica-α®(ザイカアルファ)」は、平成16年12月、ITセキュリティ評価認証制度であるISO/IEC 15408に基づく評価に合格し、平成17年2月に認証書が発行されることになりました。
【ISO/IEC 15408とは】
ISO/IEC 15408とは、ITセキュリティ評価の国際標準のことであり、ITセキュリティの観点から、ITに関連した製品およびシステムが適切に設計され、その設計が正しく実装されているかどうかを評価するためのセキュリティ基準です。1999年12月にISO/IEC規格として発行されました。セキュリティの認証としてBS7799やISMSがよく知られていますが、これらは情報セキュリティに関してその運用・管理について評価し組織に対して認証を与えるのに対し、ISO/IEC 15408は、セキュリティ製品(ハード/ソフトウェア)およびシステムの開発や製造、運用などに与えられる情報セキュリティ評価基準として、1999年6月に採択された国際標準です。
【取得概要】
今回の評価対象は、「認証取得済みICチップ」と、「その上で動作するソフトウェア(カードOS)」を対象としたものであり、こうした評価手法はコンポジット評価*3と呼ばれています。従来のICカードでは接触型や非接触型ICカード単体での認証取得事例はありますが、接触・非接触(TypeB)コンビネーション型ICカードとしての認証取得は世界初の事例となります。また、コンポジット評価で認証取得した製品としては、日本初の事例となります。このことは、Xaica-αが様々なセキュリティに対する脅威に対抗できる、高度なセキュリティ機能を有していることが評価された結果といえます。
【今後について】
Xaica-αは主に全国各地の地方公共団体を中心に導入されています。今回のセキュリティ評価認証の取得により、高度なセキュリティを要求される国家公務員・地方公務員向け職員証ICカード、電子自治体サービス向けICカード等への適用を見込んでいます。またNTTデータは今後、国内外への積極的な営業活動を行うとともに、長年のICカードビジネスに関する実績・ノウハウを活かしたセキュリティ関連商品の開発及び情報システム構築を、引き続き行っていきます。
*1 DCSSI(Direction Centrale de la Securite des Systemes d'Information)
フランス国防省配下の認証機関。IT製品等の安全性を客観的に評価した結果を国際的に相互承認するための枠組み(CCRA)に創設当初(1998年)から加盟しています。日本におけるIPA(独立行政法人 情報処理推進機構セキュリティセンタ)に相当します。
*2 評価保証レベル(EAL)
EALとは、ISO/IEC15408のセキュリティ評価を実施する際に選択する評価保証レベルのことでEALは1〜7のレベルまであり、上位(番号の大きい方)は下位レベルを含む形で厳しい評価メニューが課されるものです。商用製品では、EAL1〜3が一般的に適用されますが、ICカードの場合は、欧米諸国を中心に、このたびXaica-αが取得した、EAL4+以上で取得するケースが多くなっています。なお、「+」とは、EAL4の評価メニューに幾つかの評価項目を追加したという意味となります。
*3 コンポジット評価(Composite Evaluation)
ICカードのように、ハードウェアとソフトウェアで異なるベンダが開発する製品の場合、先にハードウェア部分だけの評価を実施し、認証取得後にソフトウェアとハードウェアをあわせたICカード製品として認証取得するケースが多く、この評価手法をコンポジット評価と呼んでいます。
*Xaica-α®は、株式会社NTTデータの登録商標です。
【ISO/IEC 15408とは】
ISO/IEC 15408とは、ITセキュリティ評価の国際標準のことであり、ITセキュリティの観点から、ITに関連した製品およびシステムが適切に設計され、その設計が正しく実装されているかどうかを評価するためのセキュリティ基準です。1999年12月にISO/IEC規格として発行されました。セキュリティの認証としてBS7799やISMSがよく知られていますが、これらは情報セキュリティに関してその運用・管理について評価し組織に対して認証を与えるのに対し、ISO/IEC 15408は、セキュリティ製品(ハード/ソフトウェア)およびシステムの開発や製造、運用などに与えられる情報セキュリティ評価基準として、1999年6月に採択された国際標準です。
【取得概要】
- 製品名:Xaica-α(ザイカアルファ)
- 認証機関:DCSSI*1(フランス国防省 情報システムセキュリティ中央局)
- 評価保証レベル*2:EAL4+
- 評価完了日:2004年12月31日
今回の評価対象は、「認証取得済みICチップ」と、「その上で動作するソフトウェア(カードOS)」を対象としたものであり、こうした評価手法はコンポジット評価*3と呼ばれています。従来のICカードでは接触型や非接触型ICカード単体での認証取得事例はありますが、接触・非接触(TypeB)コンビネーション型ICカードとしての認証取得は世界初の事例となります。また、コンポジット評価で認証取得した製品としては、日本初の事例となります。このことは、Xaica-αが様々なセキュリティに対する脅威に対抗できる、高度なセキュリティ機能を有していることが評価された結果といえます。
【今後について】
Xaica-αは主に全国各地の地方公共団体を中心に導入されています。今回のセキュリティ評価認証の取得により、高度なセキュリティを要求される国家公務員・地方公務員向け職員証ICカード、電子自治体サービス向けICカード等への適用を見込んでいます。またNTTデータは今後、国内外への積極的な営業活動を行うとともに、長年のICカードビジネスに関する実績・ノウハウを活かしたセキュリティ関連商品の開発及び情報システム構築を、引き続き行っていきます。
*1 DCSSI(Direction Centrale de la Securite des Systemes d'Information)
フランス国防省配下の認証機関。IT製品等の安全性を客観的に評価した結果を国際的に相互承認するための枠組み(CCRA)に創設当初(1998年)から加盟しています。日本におけるIPA(独立行政法人 情報処理推進機構セキュリティセンタ)に相当します。
*2 評価保証レベル(EAL)
EALとは、ISO/IEC15408のセキュリティ評価を実施する際に選択する評価保証レベルのことでEALは1〜7のレベルまであり、上位(番号の大きい方)は下位レベルを含む形で厳しい評価メニューが課されるものです。商用製品では、EAL1〜3が一般的に適用されますが、ICカードの場合は、欧米諸国を中心に、このたびXaica-αが取得した、EAL4+以上で取得するケースが多くなっています。なお、「+」とは、EAL4の評価メニューに幾つかの評価項目を追加したという意味となります。
*3 コンポジット評価(Composite Evaluation)
ICカードのように、ハードウェアとソフトウェアで異なるベンダが開発する製品の場合、先にハードウェア部分だけの評価を実施し、認証取得後にソフトウェアとハードウェアをあわせたICカード製品として認証取得するケースが多く、この評価手法をコンポジット評価と呼んでいます。
*Xaica-α®は、株式会社NTTデータの登録商標です。