1. はじめに
デジタル化が進み、あらゆる製品やサービスがネットワークにつながる現代では、機器やソフトウェアがどの程度安全なのかを調達者や利用者が客観的に判断できる仕組みが求められている。攻撃者はサプライチェーンやIoT機器の弱点を突き、脆弱な暗号実装や不十分なアクセス制御を足掛かりに侵害を拡大するためだ。評価・認証制度は、製品やサービスのセキュリティ機能が一定の基準に適合しているかを第三者が検証し、結果をラベルや認証書として公表する仕組みである。こうした制度は、調達者にとっては安全性の見える化、ベンダーにとっては製品の品質向上と国際競争力強化につながる。
2. JC‑STAR:IoT製品向けセキュリティラベリング制度
2.1 制度創設の背景
IoT機器はネットワークカメラやスマート家電から産業用制御機器まで多岐にわたるが、消費者や調達者が安全性を判断する手段が少ないことが課題だった。経済産業省は2024年8月、「IoT製品に対するセキュリティ適合性評価制度構築方針」を公表し、これを受けてIPAがセキュリティ要件適合評価及びラベリング制度(JC‑STAR)を構築した。制度はETSI EN 303 645やNISTIR 8425など国際的なガイドラインと調和しつつ日本独自の基準を定め、ネットワーク接続可能な幅広いIoT製品を対象にしている。
2.2 適合基準とレベル
JC‑STARでは、要求されるセキュリティ水準に応じて4段階の適合基準(★1~★4)を用意している。★1は全てのIoT製品に共通する最低限の要件で、メーカーの自己評価に基づきIPAがラベルを付与する。★2は製品カテゴリの特性を考慮した追加要件を満たしたことをベンダー自ら宣言する方式である。★3と★4は政府機関や重要インフラ向け製品を想定し、独立した第三者評価機関による報告に基づいてIPAが認証・ラベルを付与する。ラベルには2次元バーコードが付いており、調達者は製品のセキュリティ情報や問い合わせ窓口を容易に取得できる。
2.3 意義と国際連携
従来はベンダーが対策をアピールする手段が乏しく、調達者も製品の安全性を個別に確認せざるを得なかった。この制度は共通物差しによる評価を提供し、広義のサプライチェーンリスク管理の一環として活用できる。低コストな自己宣言方式と高信頼な第三者認証を使い分けられる柔軟性も特徴だ。さらに2025年には英国のPSTI法との相互承認に関する協力覚書が締結され、グローバル・サイバーセキュリティ・ラベリング・イニシアティブ(GCLI)への参加も表明された。今後は国際相互認証により、国内外の調達者が同一のラベルを信頼できるようになると期待される。
3. JISEC:IT製品の第三者評価・認証制度
3.1 概要と運用
ITセキュリティ評価及び認証制度(JISEC)は、IT関連製品のセキュリティ機能の適切性と確実性を、国際標準ISO/IEC 15408(Common Criteria)に基づき第三者機関が評価し、その結果を認証機関が認証する制度である。主に政府調達で利用され、IPAが認証機関として運営している。
3.2 評価・認証の流れ
評価の流れは以下の通りである。
- 政府機関などがシステム構築時に要求仕様を提示する。
- ベンダーや調達者は評価機関を選択して製品の評価依頼と認証申請を行う。
- 評価機関が開発資料・流通過程・利用ガイドなどを評価基準に基づいて検証し、評価報告書を認証機関に提出する。
- 認証機関(IPA)が報告書を検査し、認証を発行する。認証は国際相互承認アレンジメント(CCRA)加盟国でも通用する。
- 調達者は認証製品の中から適切な製品を選んで調達する。
3.3 意義と歴史
評価基準が国際標準であるため、調達者は共通の仕様表現で要求を明確に伝えられ、製品比較も容易になる。さらに日本は2003年にCCRAに加盟し、国内で認証された製品は他国でも認証製品として受け入れられる。制度は2001年に創設され、2004年にNITEからIPAに運営が移管された。政府統一基準ではIT製品調達時に「セキュリティ要件リスト」を参照し、第三者認証を活用することを求めており、JISECはその中核となっている。
4. JCMVP:暗号モジュール試験及び認証制度
暗号は通信の秘匿や認証に不可欠だが、アルゴリズム自体が安全でも実装が不適切であれば脆弱性が生じる。暗号モジュール試験及び認証制度(JCMVP)は、暗号化・デジタル署名・ハッシュ・乱数生成などの承認されたセキュリティ機能を実装したモジュールについて、実装の正確性や鍵管理の適切性を第三者が検証する日本の制度である。制度資料では、電子政府推奨暗号リストに記載された暗号や電子署名のアルゴリズムを正しく実装し、暗号鍵管理が適切に行われていることを確認できる制度であると説明している。この制度は米国・カナダのCMVPと同等であり、暗号モジュールの安全性検証を通じて政府調達の基盤を支える。政府のガイドラインでは、暗号や電子署名を行うシステムにおいて暗号モジュールを交換可能な構成とし、暗号モジュール試験及び認証制度に基づく認証を取得した製品を選択することを推奨している。
5. ISMAP:政府情報システムのためのクラウドセキュリティ評価
5.1 制度の背景
政府は2018年にクラウド・バイ・デフォルト原則を採用し、システム調達においてクラウド利用を第一候補とする方針を示した。しかし官民ともにクラウドの安全性に対する漠然とした不安があり、信頼できる評価の仕組みが求められた。こうした背景から2020年に政府情報システムのためのセキュリティ評価制度(ISMAP)が正式に開始された。
5.2 ISMAPの仕組み
ISMAP(Information system Security Management and Assessment Program)は、NISC・デジタル庁・総務省・経済産業省が所管する制度で、日本政府が求めるセキュリティ要求を満たすクラウドサービスを事前に評価・登録する仕組みである。制度はISO規格やNISC基準、米国FedRAMPなどを参考に高い管理基準を策定し、クラウド事業者はその基準への対応を求められる。外部監査機関による定期的なセキュリティ評価を受け、制度側の審査を通過したクラウドサービスがISMAPクラウドサービスリストに掲載され、政府はその登録サービスから調達する。2022年にはリスクの小さい業務を対象としたSaaS向け仕組み「ISMAP‑LIU」が開始され、外部監査項目を約5分の1に縮小するなど手続きの簡素化を図っている。
5.3 ISMAPの意義
ISMAPはクラウドサービスの安全性評価を統一することで、政府調達の効率化とクラウド活用の促進を図る。民間企業もリストを閲覧でき、登録サービスを参考にセキュリティ基準の高いクラウドを選択することが可能だ。国際的には米国のFedRAMPや欧州のC5認証と同様の制度と位置づけられ、今後は相互認証やISMAP基準の国際規格化が期待されている。
6. その他の評価・認証制度
6.1 IT製品調達におけるセキュリティ要件リスト
経済産業省は政府や企業がIT製品の調達時に参照できる「セキュリティ要件リスト」を公開しており、JISECやJC‑STAR、JCMVPなど第三者認証の活用が推奨されている。このリストを利用することで、調達仕様書の策定や要求水準の検討が容易になる。
6.2 情報セキュリティサービス基準適合サービス
IPAはセキュリティ監査や脆弱性診断などのサービスを対象に基準適合性を審査し、適合サービスリストを公開している。これはサイバーセキュリティお助け隊制度や中小企業向け支援と連動し、専門家サービスの品質向上と利用者の安心に寄与している。
7. 暗号技術の最新動向
7.1 CRYPTRECと電子政府推奨暗号リスト
日本政府は、デジタル庁・総務省・経済産業省が事務局を務める暗号技術検討会および関連委員会(CRYPTREC)を通じて暗号技術の安全性と実装性能を評価している。政府統一基準では、政府機関はCRYPTRECが作成する「電子政府推奨暗号リスト」に基づいて使用する暗号を定めることとされている。リストは、現在推奨するアルゴリズム(推奨リスト)、安全性を確認した候補アルゴリズム(推奨候補リスト)、互換性維持のために継続利用を容認するアルゴリズム(運用監視リスト)の3種類で構成される。このリストにある暗号はAESやCamellia、RSA‑PSS、ECDSAなどであるが、実装品質や運用に注意を払うことが前提である。
7.2 耐量子計算機暗号(PQC)への移行
RSAや楕円曲線暗号など現在広く使われている公開鍵暗号は、巨大な数の素因数分解や離散対数問題の困難性に基づいている。しかし量子コンピュータが発達し、ショアのアルゴリズムが実用化されれば、これらの問題を効率的に解読できる可能性がある。そのため安全性を維持するには量子攻撃に耐性のある耐量子計算機暗号(PQC:Post‑Quantum Cryptography)への移行が必要になる。PQCは格子問題や符号理論、多変数多項式、ハッシュ関数ベースなど量子計算機でも解読が困難な数学的問題を利用する。
米国NISTは2023~2024年にかけてCRYSTALS‑Kyber(鍵共有)やCRYSTALS‑Dilithium(デジタル署名)、SPHINCS+(ハッシュベース署名)を標準として選定し、2025年にはFIPS 203〜206として公表している。日本でもCRYPTRECがこれらPQアルゴリズムの安全性と実装性能を評価し、電子政府推奨暗号リストへの掲載を検討している。国家サイバー統括室は2035年までに政府機関の暗号をPQCに移行する目標を掲げ、中長期的なロードマップを策定している。
7.3 組織への示唆
PQCへの移行は単にアルゴリズムを置き換えるだけでなく、鍵長や計算負荷、インフラ整備、互換性の検証など多くの課題を伴う。また量子攻撃の現実性とPQC普及のバランスを考慮し、しばらくは現行暗号とPQCのハイブリッド運用が現実的だ。企業は暗号資産の棚卸しと評価、将来の移行計画策定、暗号モジュールの認証取得(JCMVP)を通じて安全性を確保する必要がある。
8. おわりに:認証制度と暗号技術を活用したセキュリティの高度化
本記事では、IoT製品向けのJC‑STAR、IT製品向けのJISEC、暗号モジュール向けのJCMVP、クラウドサービス向けのISMAPといった評価・認証制度を概観した。これらの制度は国際基準に基づく客観的な評価を提供し、製品やサービスの安全性を見える化することでサプライチェーン全体のリスク低減に貢献している。さらに、CRYPTRECの推奨暗号リストや耐量子計算機暗号の動向を踏まえ、組織や開発者は安全な暗号技術の選択と適切な実装に取り組む必要がある。サイバー空間の脅威は日々進化しており、認証制度の活用と暗号技術の継続的な更新が、デジタル社会の信頼基盤を支える鍵となる。
