ドイツ BSI 5Gコンポーネントの認証を導入
こんにちは、丸山満彦です。
ドイツのBSIが5Gコンポーネントの認証を2022.07.01から導入したようですね。。。
コモンクライテリア認証、技術ガイドライン認証、アクセラレイテッドセキュリティ認証など、BSIの既存の認証制度を補完するものという位置付けのようですね。。。
プレスです。。。
● Bundesamt für Sicherheit in der Informationstechnik: BSI
・2022.07.05 BSI führt Zertifizierung für 5G-Komponenten ein
BSI führt Zertifizierung für 5G-Komponenten ein | BSI 5Gコンポーネントの認証を導入 |
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) startet zum 1. Juli 2022 ein neues Zertifizierungsprogramm für Komponenten der 5G-Telekommunikationsnetze. Das Zertifizierungsprogramm nach dem Schema "Network Equipment Security Assurance Scheme Cybersecurity Certification Scheme – German Implementation" (NESAS CCS-GI) richtet sich vorrangig an Hersteller von 5G-Mobilfunkkomponenten. Sie können somit die IT-Sicherheitseigenschaften ihrer 5G-Produkte unabhängig überprüfen lassen und der im Telekommunikationsgesetz (TKG) enthaltenen Zertifizierungspflicht für kritische Komponenten in 5G-Netzen nachkommen. | 連邦情報セキュリティ局(BSI)は、2022年7月1日に5G通信ネットワークコンポーネントの新しい認証プログラムを開始します。ネットワーク機器セキュリティ保証制度 サイバーセキュリティ認証制度 - ドイツでの実施" (NESAS CCS-GI) というスキームに基づく認証プログラムは、主に5G移動無線部品の製造者を対象としています。これにより、5G製品のITセキュリティ特性を独立的に検証し、電気通信法(TKG)に含まれる5Gネットワークの重要コンポーネントの認証義務に適合させることができます。 |
Dazu sagt BSI-Präsident Arne Schönbohm: | BSIのArne Schönbohm局長のコメントは次のとおりです。 |
„Mit dem neuen Zertifizierungsschema für 5G-Komponenten steht jetzt ein entscheidender Beitrag für die Sicherheit der 5G-Kommunikationsnetze zur Verfügung. Die Zertifizierung ermöglicht eine schnelle und zuverlässige IT-Sicherheitsaussage für die geprüften Produkte. Dies kommt unmittelbar den Anwenderinnen und Anwendern zugute und erhöht die Cyber-Sicherheit in Deutschland.“ | 「5Gコンポーネント の新しい認証スキームにより、5G通信網のセキュリティに決定的な貢献ができるようになりました。この認証により、テストされた製品について、迅速かつ信頼性の高いITセキュリティの表明が可能になります。これは直接的にユーザーの利益となり、ドイツのサイバーセキュリティを向上させるものです。」 |
Die aufeinander aufbauenden Prüfschritte und zugehörigen Prüfkriterien tragen dazu bei, die IT-Sicherheitsleistung moderner Mobilfunkkomponenten zu beurteilen. Durch die Adaption bestehender Bewertungsschemas und die Mitwirkung in internationalen Gremien können die nationalen Bedarfe an zertifizierten Komponenten ebenso berücksichtigt werden wie die Bedarfe von global agierenden Herstellern. NESAS CCS-GI ergänzt damit das schon bestehende Portfolio des BSI mit der Zertifizierung nach Common Criteria, der Zertifizierung nach Technischen Richtlinien und der Beschleunigten Sicherheitszertifizierung. | 試験手順と関連する試験基準は互いに積み重ねられ、最新の移動無線コンポーネントのITセキュリティ性能を評価するのに役立つ。既存の評価スキームを適応させ、国際委員会に参加することで、グローバルに活動する製造者の要求だけでなく、認証部品に対する国の要求も考慮することができる。 NESAS CCS-GIは、コモンクライテリア認証、技術ガイドライン認証、アクセラレイテッドセキュリティ認証など、BSIの既存のポートフォリオを補完するものです。 |
Das nationale Schema dient auch als Vorbild für ein zukünftiges europäisches Zertifizierungsschema nach der Verordnung (EU) 2019/881 (Cybersecurity Act (CSA)). Das BSI gestaltet mit seinen Erfahrungen und Erkenntnissen aktiv das zukünftige europäische 5G-Zertifizierungssschema (EU5G) in den internationalen Arbeitsgruppen des CSA mit und treibt so die sichere Digitalisierung in Europa voran. | また、この国内スキームは、規則(EU)2019/881(サイバーセキュリティ法(CSA))に基づく将来の欧州認証スキームのモデルにもなっています。BSIは、その経験と見識により、CSAの国際ワーキンググループにおいて、将来の欧州5G認証スキーム(EU5G)を積極的に形成し、欧州における安全なデジタル化を推進しています。 |
Ab dem Start des Programms können sich Prüfstellen anerkennen lassen. Weitere Informationen zur Anerkennung als NESAS CCS-GI Prüfstelle stehen auf der Website des BSI zur Verfügung. | この制度の開始により、テストセンターが認知されるようになりました。NESAS CCS-GIテストセンターとしての認定に関する詳細は、BSIのウェブサイトを参照ください。 |
概要...
・Zertifizierung nach NESAS CCS-GI
Zertifizierung nach NESAS CCS-GI | NESAS CCS-GIに準拠した認証 |
Das nationale Zertifizierungsschema für 5G Mobilfunkausrüstung | 5G移動体通信機器に関する国家認証制度について |
Das „Network Equipment Security Assurance Scheme“ (NESAS) ist ein von der Groupe Speciale Mobile Association (GSMA) und dem 3rd Generation Partnership Project (3GPP) entwickeltes Rahmenwerk zur Überprüfung, Gewährleistung und Verbesserung der Sicherheit in der Mobilfunkbranche. NESAS beschreibt eine gemeinsame globale Basis für die Erstellung von nationalen und internationalen Anforderungen, die zur Bewertung definierter Sicherheitseigenschaften von Mobilfunkausrüstung dienen. | NESAS(ネットワーク機器セキュリティ保証制度)は、GSMA(グループ・スペシャリスト・モバイル協会)と3GPP(第3世代パートナーシッププロジェクト)がモバイル業界のセキュリティを見直し、保証、改善するために開発したフレームワークです。 NESASは、移動無線機器の定義された安全特性を評価するために使用される国内および国際的な要件を作成するための世界共通の基盤について説明しています。 |
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf Grundlage des GSMA-NESAS Bewertungsschemas ein nationales Zertifizierungsschema zur Produktzertifizierung entwickelt. Es trägt den Namen NESAS Cybersecurity Certification Scheme – German Implementation (NESAS CCS-GI). Dieses nationale Zertifizierungsschema für 5G Mobilfunkausrüstung ermöglicht Herstellern die Einhaltung geforderter Sicherheitseigenschaften durch ein IT-Sicherheitszertifikat nachzuweisen. | ドイツ連邦情報セキュリティ局(BSI)は、GSMA-NESASの評価スキームに基づき、製品認証のための国家認証スキームを開発しました。NESAS サイバーセキュリティ認証制度 - ドイツでの実施 (NESAS CCS-GI) と呼ばれるものです。この5G携帯端末の国家認証制度は、製造者がITセキュリティ証明書を通じて、要求されるセキュリティ機能を満たしていることを証明することができます。 |
Produktivsetzung von NESAS CCS-GI | NESAS CCS-GIの実務開始 |
Das nationale Zertifizierungsschema NESAS CCS-GI wurde in Zusammenarbeit mit ausgewählten Prüfstellen und Herstellern von 5G-Mobilfunkausrüstung pilotiert und erprobt. In dieser Zeit konnten viele Verbesserungen des Schemas gefunden und eingepflegt werden. Prüfungsanforderungen wurden im Sinne der Zertifizierung und besseren Vergleichbarkeit präzisiert. | NESAS CCS-GI国家認証スキームは、選ばれた試験機関および5Gモバイル機器製造者と共同でパイロットテストを実施しました。この間、多くの改善点が見つかり、取り入れられていった。認証と比較可能性を向上させる目的で、試験要件を規定しました。 |
Ab 01.07.2022 startet die Anlaufphase für das neue Zertifizierungsverfahren. Interessierte Hersteller können einen Zertifizierungsantrag stellen. Während der Anlaufphase des Verfahrens wird vorerst die Anzahl der Verfahren an sich, pro Prüfstelle und für noch nicht pilotierte SCAS-Tests limitiert. Prüfstellen benötigen vor der Durchführung einer Evaluation im Bereich NESAS CCS-GI eine Anerkennung. | 新しい認証手順のスタートアップ段階は、2022年07月01日に開始されます。興味のある製造者は、認証申請書を提出することができます。手順の立ち上げ段階では、試験センターごとの手順や、まだ試験運用されていない SCAS 試験の手順数は制限されます。NESAS CCS-GIの領域で評価を行うには、試験機関の承認が必要です。 |
Zertifizierungspflicht kritischer Komponenten | 重要部品の認証義務 |
Die TR-03163 "Sicherheit in TK-Infrastrukturen" nennt NESAS CCS-GI als ein zulässiges Schema für die Zertifizierung von kritischen Komponenten in Telekommunikationsnetzen. Informationen zu zulässigen Zertifizierungsschemas für kritische Komponenten in Telekommunikationsnetzen mit erhöhtem Gefährdungspotenzial sowie eine Handlungsanweisung zur Auswahl eines geeigneten Zertifizierungsschemas werden durch die Technische Richtlinie TR-03163 „Sicherheit in TK-Infrastrukturen“ bereitgestellt. | TR-03163 "通信インフラにおけるセキュリティ "では、通信ネットワークにおける重要なコンポーネントの認証スキームとして、NESAS CCS-GIが挙げられています。ハザードポテンシャルの高い通信ネットワークの重要部品に対して許容される認証スキームに関する情報、および適切な認証スキームの選択に関する指示は、技術ガイドラインTR-03163「通信インフラにおけるセキュリティ」で提供されます。 |
認証手順、、、
プロセス監査と製品評価の2つを行うようですね。。。
Ablauf / Verfahren | プロセス/手順 |
Überblick zu NESAS CCS-GI | NESAS CCS-GIの概要 |
01. Beteiligte Stellen | 01.関係機関 |
Am NESAS CCS-GI Zertifizierungsverfahren sind vier Stellen beteiligt: der Hersteller, der sein Produkt an einen Mobilfunknetzbetreiber verkaufen möchte, das Audit-Team, eine für das Zertifizierungsverfahren anerkannte Prüfstelle und die Zertifizierungsstelle. | NESAS CCS-GIの認証プロセスには、モバイルネットワーク事業者への製品販売を希望する製造者、監査チーム、認証プロセスで認められた試験機関、認証機関の4者が関与しています。 |
02. Produkt und Prozesse | 02. 製品・プロセス |
Während des Zertifizierungsprozesses wird nicht nur das Produkt selbst untersucht, sondern auch die Entwicklungs- und Lebenszyklusprozesse beim Hersteller, nach denen das Produkt entwickelt wurde und zukünftig gepflegt wird. Es ergeben sich für den Prozess vier Phasen: eine Vorbereitungsphase, eine Auditierungsphase, eine Evaluierungsphase und eine Zertifizierungsphase. | 認証の過程では、製品そのものだけでなく、その製品がどのように開発され、将来にわたって維持されるのか、製造者における開発・ライフサイクルプロセスも監査されます。準備段階、監査段階、評価段階、認証段階の4つの段階があります。 |
03. Zertifizierungsantrag | 03. 認証申請 |
Vorbereitungsphase: Möchte ein Hersteller eine Produktzertifizierung durchlaufen, benötigt er eine Prüfstelle zur Durchführung der Produktevaluation. Im Anschluss kann der Hersteller einen Antrag auf Erteilung eines Deutschen IT-Sicherheitszertifikats für ein IT-Produkt gemäß NESAS CCS-GI stellen, in dem die ausgewählte Prüfstelle auch schon benannt werden muss. Die Zertifizierungsstelle prüft den Antrag und eröffnet im Anschluss das Zertifizierungsverfahren. | 準備段階:製品認証を受けようとする場合、製品評価を行う検査機関が必要です。製造者は、NESAS CCS-GIに準拠したIT製品のドイツITセキュリティ証明書を申請することができ、その際、選択した試験機関もすでに指定されていなければなりません。認証機関は、申請書を審査し、認証手続きを開始します。 |
04. Festlegung Audit-Team | 04. 監査チームの決定 |
Auditphase: Die Auditphase beginnt mit der Auswahl des Audit-Teams durch die Zertifizierungsstelle und Mitteilung an den Hersteller. Das Audit-Team nimmt anschließend mit dem Hersteller Kontakt auf und stimmt das weitere Vorgehen ab. | 監査段階:監査段階は、認証機関による監査チームの選定と製造業者への通知から始まります。その後、監査チームは製造者と連絡を取り、今後の手続きについて合意します。 |
05. Prozessaudit | 05. プロセス監査 |
Auditphase: Das Audit-Team führt anschließend das Audit der Produktentwicklungs- und Lebenszyklusprozesse durch. Das Audit findet auf zu Beginn auf Basis einer vom Hersteller bereitgestellten Dokumentation statt und wird durch ein mehrtägiges Audit an einem exemplarischen Standort des Herstellers fortgeführt. | 監査段階:その後、監査チームは、製品開発およびライフサイクルプロセスの監査を実施します。監査は、まず製造者提供された書類に基づいて行われ、その後、製造者の模範となる場所で数日間にわたる監査が行われます。 |
06. Auditabschuss/-bericht | 06. 監査結論・報告書 |
Auditphase: Als Ergebnis des Audits erstellt das Audit-Team einen Audit-Bericht. In diesem Bericht sind alle Ergebnisse festgehalten. Zusätzlich beinhaltet der Auditbericht Hinweise für den Hersteller wie er gegenüber Dritten nachweisen kann, dass er sich für ein spezifisches Produkt an die auditierten Prozesse hält. Diese Nachweise werden vom Audit-Team während des Audits festgelegt. Die Zertifizierungsstelle begleitet den Auditprozess und nimmt den Auditbericht zum Abschluss der Phase ab. | 監査段階:監査の結果、監査チームは監査報告書を作成する。すべての結果は本レポートに記録されています。また、監査報告書には、製造者が特定の製品について監査されたプロセスを遵守していることを第三者に証明する方法についての情報が含まれています。このエビデンスは、監査中に監査チームによって決定される。認証機関は、監査プロセスに同行し、段階の終了時に監査報告書を受理します。 |
07. Nachweiserstellung Prozesseinhaltung | 07. プロセス適合性の証拠 |
Mit Hilfe des Auditberichtes hat der Hersteller im nächsten Schritt die Möglichkeit alle im Auditbericht geforderten Nachweise gegenüber Dritten zur Einhaltung seiner Prozesse für ein spezifisches Produkt, welches zertifiziert werden soll, zu erstellen, um mit der Evaluierungsphase fortzufahren. | 監査報告書の助けを借りて、製造者は次のステップで、評価段階に進むために、認証される特定の製品のプロセスの適合性について、監査報告書に必要なすべての証拠を第三者に提供することができます。 |
08. Vorbereitung Produktevaluierung | 08. 製品評価のための準備 |
Evaluierungsphase: Zu Beginn der Phase stellt der Hersteller der Prüfstelle das zu evaluierende Produkt, den Auditbericht und die erstellten Nachweise, dass er sich bei dem bereitgestellten Produkt an seine auditierten Prozesse gehalten hat, bereit. | 評価段階:この段階の初めに、製造者は、評価対象製品、監査報告書、および提供した製品について監査したプロセスを遵守したことを示す証拠を検証者に提供します。 |
09. Produktevaluierung | 09. 製品評価 |
Evaluierungsphase: Die Prüfstelle führt anschließend die Produktevaluation durch und überprüft ob die für das Audit erbrachten Nachweise den vom Auditor festgelegten Forderungen im Auditbericht entsprechen. Die Prüfstelle erstellt einen Evaluierungsbericht mit allen Ergebnissen, welcher durch die Zertifizierungsstelle abgenommen und überprüft wird. Während der Evaluation steht die Zertifizierungsstelle für Klärungsbedarf und zur einheitlichen Interpretation von Prüfanweisungen zur Verfügung. | 評価段階:その後、評価機関が製品評価を実施し、監査に提供されたエビデンスが監査報告書で監査人が指定した要件に対応しているかどうかを確認します。評価機関は、すべての結果を記載した評価報告書を作成し、認証機関はこれを受理して確認します。評価中、認証機関は明確化の必要性と試験指示の統一的な解釈のために利用可能です。 |
10. Zertifizierungsbericht | 10. 認証報告書 |
Zertifizierungsphase: Nach Abschluss der Evaluation wird auf Basis des Audit- und Evaluierungsberichtes durch die Zertifizierungsstelle eine Zertifizierungsentscheidung getroffen und ein Zertifizierungsbericht erstellt. Dieser fasst Ergebnisse aus dem Audit und der Evaluierung zusammen und ergänzt diese. Weiterhin beinhaltet er Hinweisen und Auflagen der Zertifizierungsstelle. | 認証段階:評価終了後、監査・評価報告書に基づき認証機関が認証決定を行い、認証報告書が作成されます。本報告書は、監査・評価結果を要約・補足したものです。さらに、認証機関の指示や要求事項が含まれています。 |
11. Zertifikatsvergabe | 11. 認証書発行 |
Zertifizierungsphase: Weiterhin wird dem Hersteller eine Zertifikatsurkunde ausgestellt. | 認証段階:さらに、製造者に認証書が発行されます。 |
12. Produktvermarktung | 12. プロダクトマーケティング |
Der Hersteller hat so die Möglichkeit gegenüber seinen Kunden ein Produkt bereitzustellen, welches gemäß NESAS CCS-GI ein IT-Sicherheitszertifikat erteilt bekommen hat. | これにより、製造者はNESAS CCS-GIに準拠したITセキュリティ認証を取得した製品を顧客に提供することができる。 |
申請に係る文書関係
プロセス監査関係
・2022.07.01 [PDF] AIS N1 Anwendungshinweise und Interpretationen zum Schema NESAS (AIS)
製品評価関係
・2022.07.01 [PDF] AIS N2 Application Notes and Interpretation of the Scheme NESAS (AIS)
どういう場合にどのような認証スキームを使うか、、、ちょっと複雑ですね。。。
・BSI TR-03163 Sicherheit in TK-Infrastrukturen
BSI TR-03163 Sicherheit in TK-Infrastrukturen | BSI TR-03163 通信インフラストラクチャーにおけるセキュリティ |
Die Technische Richtlinie TR-03163 „Sicherheit in TK-Infrastrukturen“ benennt die zulässigen Zertifizierungsschemata für kritische Komponenten in Telekommunikationsnetzen mit erhöhtem Gefährdungspotenzial im Sinne des „Katalogs von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG) Version 2.0“. Sie richtet sich an Hersteller von kritischen Komponenten in Telekommunikationsnetzen. | 技術指針TR-03163「通信インフラのセキュリティ」では、「電気通信法第109条に基づく電気通信および情報処理システムの運用ならびに個人データの処理に関するセキュリティ要件カタログ(TKG Version 2.0)」の意味で、リスクが高まる可能性のある通信ネットワークの重要コンポーネントに対して許容できる認証スキームが規定されています。通信ネットワークの重要な部品を製造している製造者を対象としています。 |
Neben der Technischen Richtlinie werden weiterführende Informationen zu den zulässigen Zertifizierungsschemata im Anhang A benannt. Dies umfasst eine Auswahlhilfe für Zertifizierungsschemata sowie die Liste der jeweils verfügbaren Anforderungsdokumente für die Zertifizierung von kritischen Komponenten nach TR-03163. Die Listen von Anforderungsdokumenten im Anhang A werden fortlaufend erweitert. | 技術指針に加え、許容される認証制度に関する詳細な情報は、附属書 A に記載されています。これには、認証制度の選択ガイドも含まれています。TR-03163 に基づく重要部品の認証に利用できる要求文書のリストと同様に、認証スキームの選択ガイドも含まれています。 附属書 A の要求文書リストは継続的に拡張されています。 |
Aktuelle Version | 現在のバージョン |
• [PDF] BSI TR-03163 Sicherheit in TK-Infrastrukturen, Version 1.0 |
・BSI TR-03163 通信インフラストラクチャーにおけるセキュリティ 第1.0版 |
• [PDF] BSI TR-03163 Anhang A, Version 1.1 |
・BSI TR-03163 附属書 A 第1.1版 |
« バーゼル銀行監督委員会:(パブコメ)銀行の暗号資産エクスポージャーのプルデンシャルな取り扱いに関する第2回協議文書を公表 (2022.06.30) | Main | 米国 CISA 北朝鮮の国家支援によるサイバーアクターがマウイ・ランサムウェアを使ってヘルスケアおよびパブリックヘルス分野を標的にしていると警告 »
Comments