ENISA (IoT製品)サイバーセキュリティ認証 (Certification) EUCCスキーム候補
こんにちは、丸山満彦です。
ENISAから、IoT製品のサイバーセキュリティ認証 (Certification) EUCCスキーム候補についての報告書 (ver1.1.1) が公開されていますね。。。
● ENISA
・2021.05.25 Cybersecurity Certification: Candidate EUCC Scheme V1.1.1
Cybersecurity Certification: Candidate EUCC Scheme V1.1.1 | サイバーセキュリティ認証 EUCCスキーム候補 V1.1.1 |
Following the request from the European Commission in accordance with Article 48.2 of the Cybersecurity Act, ENISA has set up an Ad Hoc Working Group to support the preparation of a candidate EU cybersecurity certification scheme as a successor to the existing schemes operating under the SOG-IS MRA. This has been named EUCC scheme (Common Criteria based European candidate cybersecurity certification scheme) and it looks into the certification of ICT products cybersecurity, based on the Common Criteria, the Common Methodology for Information Technology Security Evaluation, and corresponding standards, respectively, ISO/IEC 15408 and ISO/IEC 18045. This version -V.1.1.1- of the scheme has been updated based on the comments received through the public consultation and from the ECCG. | サイバーセキュリティ法第48条2項に基づく欧州委員会からの要請を受けて、ENISAは、SOG-IS MRAの下で運用されている既存のスキームの後継となるEUサイバーセキュリティ認証スキーム候補の準備を支援するためのアドホック・ワーキンググループを設置しました。これは、EUCCスキーム(Common Criteria based European candidate cybersecurity certification scheme)と名付けられ、コモンクライテリア、情報技術セキュリティ評価のための共通方法論、および対応する規格であるISO/IEC 15408とISO/IEC 18045に基づいて、ICT製品のサイバーセキュリティの認証を検討しています。本バージョン(V.1.1.1)は、パブリックコンサルテーションやECCGから寄せられたコメントをもとに更新されています。 |
・[PDF]
目次
1. SUBJECT MATTER AND SCOPE | 1. 主題と範囲 |
2. PURPOSE OF THE SCHEME | 2. 制度の目的 |
3. EVALUATION STANDARDS | 3. 評価基準 |
4. ASSURANCE LEVELS | 4. 保証レベル |
5. CONFORMITY SELF-ASSESSMENT | 5. 適合性の自己評価 |
6. SPECIFIC REQUIREMENTS APPLICABLE TO A CAB | 6. 適合性評価機関に適用される特定の要求事項 |
7. NOTIFICATION AND AUTHORISATION OF CABS, FUNCTIONING OF CABS AND SUBCONTRACTORS | 7. 適合性評価機関、適合性評価機関の機能、およびその委託業者の通知と認可 |
8. SPECIFIC EVALUATION CRITERIA AND METHODS | 8. 特定の評価基準および方法 |
9. NECESSARY INFORMATION FOR CERTIFICATION | 9. 認証に必要な情報 |
10. MARKS AND LABELS | 10. マークとラベル |
11. RULES FOR MONITORING COMPLIANCE | 11. 遵守状況を監視するための規則 |
12. CONDITIONS FOR ISSUING, MAINTAINING, CONTINUING AND RENEWING CERTIFICATES | 12. 証明書の発行、維持、継続および更新の条件 |
13. RULES RELATED TO NON-COMPLIANCE | 13. 遵守違反に関する規定 |
14. RULES RELATED TO HANDLING VULNERABILITIES | 14. 脆弱性の取扱いに関する規定 |
15. RETENTION OF RECORDS BY A CAB | 15. 適合性評価機関による記録の保持 |
16. NATIONAL OR INTERNATIONAL SCHEMES | 16. 国または国際的な制度 |
17. CONTENT AND FORMAT OF CERTIFICATES | 17. 証明書の内容および形式 |
18. AVAILABILITY OF INFORMATION | 18. 情報の入手可能性 |
19. PERIOD OF VALIDITY OF CERTIFICATES | 19. 証明書の有効期間 |
20. DISCLOSURE POLICY FOR CERTIFICATES | 20. 証明書の開示方針 |
21. MUTUAL RECOGNITION WITH THIRD COUNTRIES | 21. 第三国との相互認証 |
22. PEER ASSESSMENT | 22. 相互アセスメント |
23. SUPPLEMENTARY CYBERSECURITY INFORMATION - ARTICLE 55 | 23. 補足的なサイバーセキュリティ情報 - 第55条 |
24. ADDITIONAL ELEMENTS OF THE SCHEME | 24. スキームの追加要素 |
25. RECOMMENDATIONS FROM THE AHWG | 25. AHWGからの提言 |
26. REFERENCES | 26. 参考文献 |
27. ANNEX 1: ASSURANCE PACKAGE DECLARATION IN A CERTIFICATE | 27. 附属書1:証明書における保証パッケージ宣言 |
28. ANNEX 2: MINIMUM SITE SECURITY REQUIREMENTS | 28. 附属書2: サイトセキュリティの最低要件 |
29. ANNEX 3: APPLICATION OF CC TO INTEGRATED CIRCUITS | 29. 附属書3:集積回路へのコモンクライテリアの適用 |
30. ANNEX 4: SECURITY ARCHITECTURE REQUIREMENTS (ADV_ARC) FOR SMART CARDS AND SIMILAR DEVICES | 30. 附属書4:スマートカード及び類似機器のセキュリティアーキテクチャ要件 (Adv_arc) |
31. ANNEX 5: CERTIFICATION OF "OPEN" SMART CARD PRODUCTS | 31. 附属書5:「オープン」スマートカード製品の認証 |
32. ANNEX 6: COMPOSITE PRODUCT EVALUATION FOR SMART CARDS AND SIMILAR DEVICES | 32. 附属書6:スマートカード及び類似機器の複合製品評価 |
33. ANNEX 7: APPLICATION OF ATTACK POTENTIAL TO SMARTCARDS AND SIMILAR DEVICES | 33. 附属書7:スマートカード及び類似デバイスへの攻撃可能性の適用 |
34. ANNEX 8: MINIMUM ITSEF REQUIREMENTS FOR SECURITY EVALUATIONS OF SMART CARDS AND SIMILAR DEVICES | 34. 附属書8:スマートカード及び類似機器のセキュリティ評価のための最低限のITSEF要件 |
35. ANNEX 9: APPLICATION OF ATTACK POTENTIAL TO HARDWARE DEVICES WITH SECURITY BOXES | 35. 附属書9:セキュリティボックスを有するハードウェア機器への攻撃可能性の適用 |
36. ANNEX 10: MINIMUM ITSEF REQUIREMENTS FOR SECURITY EVALUATIONS OF HARDWARE DEVICES WITH SECURITY BOXES | 36. 附属書10:セキュリティボックスを備えたハードウェア機器のセキュリティ評価のための最低限のITSEF 要件 |
37. ANNEX 11: ASSURANCE CONTINUITY | 37. 附属書11:保証の継続性 |
38. ANNEX 12: PROCEDURE FOR CONDUCTING A PEER ASSESSMENT | 38. 附属書12:相互評価の実施手順 |
39. ANNEX 13: CONTENT OF A CERTIFICATION REPORT | 39. 附属書13:認証報告書の内容 |
40. ANNEX 14: ST SANITISING FOR PUBLICATION | 40. 附属書14:公表のための統計的サニタイズ |
41. ANNEX 15: PATCH MANAGEMENT | 41. 附属書15:パッチマネジメント |
■ 参考
●まるちゃんの情報セキュリティ気まぐれ日記
・2021.04.12 ENISA サイバーセキュリティ認証市場調査についての報告書
・2020.11.26 ENISA 認証をサポートする規格
・2020.06.12 ENISA セキュリティ認証スキームになりうる領域の調査 他 WebTrust, ISMS, Common Criteria...
・2020.04.21 ENISA Underpinning software security: the role of the EU cybersecurity certification framework
Comments