ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 （固定時間制認証制度）

こんにちは、丸山満彦です。

ドイツとフランスでIT製品のセキュリティ認証に関する共同文書が発行されていています。相互認証ができるようになるのですかね。。。

「Fixed Time Cybersecurity Certification」という概念が説明されていますが、恥ずかしながら初めて聞きました。フランスでは10年前から行われているようです。。。そして最近、欧州の標準、EN 17640:2022 Fixed-time cybersecurity evaluation methodology for ICT productsが定められたようです。。。

数式を使って計算された審査時間を使って審査をするというアイデアなんでしょうかね。。。事前に審査時間について合意してから審査をするようです。。。

 

ドイツ側の発表...

● Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2022.12.12 BSI und ANSSI veröffentlichen Publikation zur Sicherheitszertifizierung von IT-Produkten

 

BSI und ANSSI veröffentlichen Publikation zur Sicherheitszertifizierung von IT-Produkten	BSIとANSSI、IT製品のセキュリティ認証に関する出版物を発行
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zusammen mit der französischen Behörde für IT-Sicherheit, Agence Nationale de la Sécurité des Systèmes d‘Information (ANSSI), eine gemeinsame Publikation zur Sicherheitszertifizierung von IT-Produkten veröffentlicht. Anlass ist die Unterzeichnung des bilateralen Abkommens zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten zwischen ANSSI und dem BSI im Juni 2022. Der Fokus der Publikation liegt insbesondere auf den Zertifizierungsprogrammen Certification de Sécurité de Premier Niveau (CSPN) der ANSSI und Beschleunigte Sicherheitszertifizierung (BSZ) des BSI.	連邦情報セキュリティ局（BSI）は、フランスのITセキュリティ当局であるAgence Nationale de la Sécurité des Systèmes d'Information（ANSSI）と共に、IT製品のセキュリティ認証に関する共同出版物を発表した。本書は、ANSSIとBSIが2022年6月に締結するITセキュリティ認証の相互認証に関する二国間協定の締結を機に、ANSSIの認証プログラムCSPNとBSIの加速セキュリティ認証（BSZ）に焦点を当て、その概要を解説している。
Beide Programme basieren auf dem Fixed Time Ansatz, der Evaluierungen in einem festen Zeitrahmen vorsieht. Die Publikation beschreibt die Funktionsweise von Produktzertifizierungen im Allgemeinen sowie des Fixed Time Ansatzes im Speziellen. Außerdem wird die gegenseitige Anerkennung dieser beiden nationalen Zertifizierungsprogramme erläutert und ein Ausblick auf eine mögliche europäische Harmonisierung mittels der neuen europäischen Norm EN 17640 FiT CEM für Evaluierungen in einem festen Zeitrahmen gegeben.	どちらのプログラムも、一定の期間で評価を行う「固定時間方式」に基づいています。本書では、一般的な製品認証の仕組みと、特に「固定時間方式」について説明している。また、これら2つの国の認証制度の相互承認について説明し、一定期間内の評価に関する新しい欧州規格EN 17640 FiT CEMによる欧州調和の可能性について展望している。

 

 

・Gemeinsame Publikationen von ANSSI und BSI

Gemeinsame Publikationen von ANSSI und BSI	ANSSIとBSIの共同出版物
Seit 2018 veröffentlichen das BSI und die französische Behörde für IT-Sicherheit, Agence Nationale de la Sécurité des Systèmes d‘Information (ANSSI), im Rahmen ihrer engen Zusammenarbeit jährlich eine gemeinsame Publikation zu einem aktuellen IT-Sicherheitsthema.	2018年より、BSIとフランスのITセキュリティ当局であるAgence Nationale de la Sécurité des Systèmes d'Information（ANSSI）は、密接な協力関係の一環として、毎年最新のITセキュリティトピックに関する共同出版物を発行している。
Die 2022 veröffentlichte fünfte gemeinsame Publikation beschäftigt sich mit dem Thema Sicherheitszertifizierung von IT-Produkten. Angesichts der voranschreitenden Digitalisierung in Staat, Wirtschaft und Gesellschaft nimmt der Bedarf an sicheren IT-Systemen und -Produkten immer weiter zu. Die IT-Sicherheitszertifizierung ermöglicht eine unabhängige Überprüfung und Bestätigung der IT-Sicherheitseigenschaften eines Produkts. Das so geschaffene Vertrauen in die Sicherheitsleistungen nutzt sowohl Herstellern und Verkäufern als auch potenziellen Käufern und Nutzern eines IT-Produkts.	2022年に発行された5番目の共同出版物は、IT製品のセキュリティ認証の話題を扱っている。国家、経済、社会のデジタル化が進む中、安全なITシステム・製品のニーズは高まり続けている。ITセキュリティ認証は、製品のITセキュリティ特性を独立した立場で検証・確認することができる。こうして生まれたセキュリティ性能への信頼は、IT製品のメーカーと販売者、そして潜在的な購入者と利用者の双方にメリットをもたらす。
In dieser Publikation wird der Prozess der Produktzertifizierung mit dem Schwerpunkt auf die beiden miteinander kompatiblen Zertifizierungsprogramme BSZ und CSPN erläutert. Weitere Themen sind das im Sommer 2022 zwischen ANSSI und BSI geschlossene Anerkennungsabkommen bezüglich der beiden Programme sowie der Ausblick auf die mögliche weitere Harmonisierung im europäischen Rahmen.	本書では、相互に互換性のある2つの認証プログラムBSZとCSPNを中心に、製品認証のプロセスを解説している。その他、2022年夏にANSSIとBSIの間で締結された2つのプログラムに関する認識協定や、欧州の枠組みにおけるさらなる調和の可能性についての展望などについても言及した。
Seit 2020 erscheinen die gemeinsamen Publikationen von ANSSI und BSI in englischer Sprache.	2020年以降、ANSSIとBSIの共同出版物は英語で掲載されている。
Strengthening Cybersecurity with Fixed Time Cybersecurity Certification of IT-Products - 2022	IT製品の定時サイバーセキュリティ認証でサイバーセキュリティを強化 - 2022年
Themenschwerpunkt: Sicherheitszertifizierung von IT-Produkten	主な内容：IT製品のセキュリティ認証
Weitere Publikationen	その他の出版物
Deutsch-französisches IT-Sicherheitslagebild 2021Common situational picture 2021Themenschwerpunkt: Ransomware	独仏のITセキュリティ状況像2021年共通状況像2021年フォーカス：ランサムウェア
Deutsch-französisches IT-Sicherheitslagebild Vol. 3 - Dezember 2020Themenschwerpunkt: COVID-19	独仏のITセキュリティ事情Vol.3～2020年12月フォーカス：COVID-19
Deutsch-französisches IT-Sicherheitslagebild Vol. 2 - Mai 2019Themenschwerpunkt: Künstliche Intelligenz	独仏のITセキュリティ状況画 Vol.2～2019年5月フォーカス：人工知能
Deutsch-französisches IT-Sicherheitslagebild Vol. 1 - Juli 2018Themenschwerpunkt: Ransomware	独仏ITセキュリティ事情レポート Vol.1〜2018年7月フォーカス：ランサムウェア

 

・[PDF] Strengthening Cybersecurity with Fixed Time Cybersecurity Certification of IT-Products - 2022

Fixed Time Cybersecurity Certification	固定時間制サイバーセキュリティ認証
In many areas of the fast growing IT­landscape, cybersecurity is an ever more important aspect. The digitalisation of significant parts of critical infrastructure, industry,  civil services and many more sectors demands for security of the systems and products employed. This is where the cybersecurity certification of IT­products comes into play. It enables manufacturers and vendors of IT­products to have their security statements regarding a product confirmed by a cybersecurity certificate. Analogous to certificates in other areas, e.g., food safety and sustainability, it provides potential product users with an independent assurance on the properties of the product that are difficult to assess by the product users themselves. In  particular, the independent attestation of the product’s security functions demonstrates the fulfilment of specified security requirements and allows potential product  users to assess the compliance of the product with their specific security demands and risk management.	急成長するIT環境の多くの分野で、サイバーセキュリティはこれまで以上に重要な要素となっている。重要なインフラ、産業、市民サービスなど多くの分野でデジタル化が進み、採用されたシステムや製品のセキュリティが要求されている。そこで、IT製品のサイバーセキュリティ認証の出番である。IT製品のメーカーやベンダーは、サイバーセキュリティ証明書によって、製品に関する自社のセキュリティ声明を確認することができる。食品の安全性や持続可能性など、他の分野の証明書と同様に、製品の潜在的な利用者に、製品利用者自身では評価が難しい製品の特性について、独立した保証を提供するものである。特に、製品のセキュリティ機能に関する独立した認証は、指定されたセキュリティ要求事項を満たしていることを証明し、潜在的な製品ユーザーが、彼らの特定のセキュリティ要求事項やリスクマネジメントへの製品の適合性を評価することを可能にする。
Three Party model – Ensuring Quality	三者モデル - 品質の確保
Trust in an IT­product certificate requires trust in the  competence and impartiality of the issuing authority. This is guaranteed by three parties working closely together: the applicant, e.g. a manufacturer of the product to be certified, an IT Security Evaluation Facility (ITSEF)  that evaluates the product‘s cybersecurity properties, and the Certification Body (CB) that oversees the procedure.  The applicant is the party that initiates a certification procedure. Therefore, the applicant prepares the application letter including all required documents and evidences, commissions an ITSEF and applies to the certification  body. The ITSEF and the certification body then assess  whether the product is suitable for certification under  the requested certification scheme.	IT製品の証明書を信頼するには、発行機関の能力と公平性を信頼する必要がある。これは、申請者（認証対象製品の製造業者など）、製品のサイバーセキュリティ特性を評価するITセキュリティ評価機関（ITSEF）、手続きを監督する認証機関（CB）の3者が密接に連携することで保証される。 申請者は、認証手続きを開始する当事者である。したがって、申請者は必要な書類や証拠を含む申請書を作成し、ITSEFに依頼し、認証機関に申請する。その後、ITSEFと認証機関は、製品が要求された認証スキームのもとでの認証に適しているかどうかを評価する。
If this is the case, the ITSEF prepares the evaluation plan to verify that the product meets the security statements of the applicant. This includes planning the tests and testing strategy. Then the evaluation of the IT­product begins. After completion of the evaluation, the ITSEF reports on the evaluation to the CB, describing the evaluation procedure, tests, and results as well as providing a recommendation on the certification. The CB reviews  the evaluation, scrutinising the report of the ITSEF. The final decision on whether the product receives a certificate is made by the certification body.	適合する場合、ITSEFは製品が申請者のセキュリティに関する声明に適合していることを検証するための評価計画を作成する。これには、試験の計画や試験戦略も含まれる。その後、IT製品の評価が開始される。評価終了後、ITSEFは評価手順、試験、結果、認証に関する推奨事項などをCBに報告する。CBはITSEFの報告書を精査し、評価の見直しを行いる。最終的には、認証機関が製品に認証を与えるかどうかを決定する。
Following this approach, cybersecurity agencies around the globe have been offering the IT security certification of products for more than three decades. They operate many certification schemes with different evaluation  methodologies and scopes of application. The tests to verify the security statements differ depending on the methodology as well as the security perimeter and assurance level(s).	このようなアプローチにより、世界中のサイバーセキュリティ機関が30年以上にわたって製品のITセキュリティ認証を提供している。これらの機関は、評価手法や適用範囲が異なる多くの認証制度を運用している。セキュリティステートメントを検証するためのテストは、方法論だけでなく、セキュリティ境界と保証レベル（複数可）により異なる。
Each product evaluation consists of several tests, usually with a mixture of different test types, to ensure a high level of trust in the security statements made (i.e., the security functions of the respective product). The evaluation does not only verify conformity to the claimed security features and standards but does also include penetration tests that address the quality and robustness of their implementation.	各製品の評価は、セキュリティステートメント（各製品のセキュリティ機能）に対する高い信頼性を確保するために、通常、異なる種類の試験を混合した複数の試験で構成されている。評価は、主張されたセキュリティ機能や標準への適合性を検証するだけでなく、その実装の品質や堅牢性に対処するための侵入テストも含まれる。
Concept of Fixed Time Evaluation	固定時間評価の考え方
One of these evaluation methodologies is called the fixed  time evaluation methodology. It provides a high level of trust while enabling a predictable evaluation schedule and keeping the effort for the product manufacturer manageable.	このような評価手法のひとつに、「固定時間評価法」というものがある。この評価方法は、高い信頼性を確保しつつ、評価スケジュールを予測可能にし、製品メーカーの労力を管理しやすくするものである。
To keep the product manufacturer’s effort manageable, the required deliverables are mainly limited to documents describing the product with its respective security features. Here, the centrepiece is the Security Target (ST) document, a rather short document of approximately 10 pages mainly describing the operating environment and security features of the product.	製品メーカーの労力を管理しやすくするために、要求される成果物は主に製品のセキュリティ機能を説明する文書に限定される。その中心となるのが、セキュリティターゲット（ST）文書で、製品の動作環境とセキュリティ機能を中心に記述した10ページ程度の短い文書である。
To achieve a fixed time schedule, ITSEF and the certification body agree on a fixed time budget for the evaluation before it starts. The time budget is consistent with the strength of an expected potential attacker and ranges from 15 to 60 person days. It is determined for each particular procedure according to the complexity and scope of features of the product. The ITSEF conducts the evaluation without direct involvement of the other parties. In particular, communication between the parties is reduced during the evaluation, and it is not possible to change or update the version of the evaluated product. With these principles in place, the evaluation can be finished within a predefined timeframe.	一定のタイムスケジュールを実現するために、ITSEFと認証機関は評価開始前に一定のタイムバジェットを合意する。この時間予算は、想定される潜在的な攻撃者の強さと一致し、15～60人日の範囲になる。これは、製品の複雑さと機能の範囲に応じて、特定の手順ごとに決定される。ITSEFは、他の関係者が直接関与することなく評価を行う。特に、評価中は関係者間のコミュニケーションを減らし、評価対象製品のバージョンを変更したり更新したりすることはできない。このような原則のもと、あらかじめ設定された期間内に評価を終了することができる。
Fixed Time Certification Schemes: CSPN and BSZ	固定時間認証方式：CSPNとBSZ
The demand for security­certified IT­products rises with the advancing digitalisation in many important and critical areas. A little more than 10 years ago, in order to meet this demand, the French cybersecurity agency ANSSI introduced the frst Certification scheme employing a fixed time evaluation: the Certification de sécurité de premier niveau (CSPN) [CSPN]. The goal was to reduce the entrance threshold for manufacturers by minimizing the preparation effort and focussing the testing on the parts that contribute most to the security statements.	多くの重要な分野でデジタル化が進むにつれ、セキュリティ認証されたIT製品への需要が高まっている。10年以上前、この需要に応えるため、フランスのサイバーセキュリティ機関ANSSIは、固定時間評価を採用した最初の認証スキーム、CSPN（Certification de sécurité de premier niveau）[CSPN]を導入した。その目的は、準備にかかる労力を最小限に抑え、セキュリティ声明に最も貢献する部分に試験を集中させることで、製造業者の参入障壁を下げることであった。
The German fiederal cybersecurity agency BSI followed with the introduction of the Beschleunigte Sicherheitszertifzierung (BSZ) [BSZ] in 2021. Thanks to the intensive and continuous bilateral cooperation between the two agencies, both schemes have a common methodology and comparable quality standards. For this reason, the authorities launched the mutual recognition of Certificates under these schemes in 2022.	ドイツの連邦サイバーセキュリティ機関BSIは、2021年にBeschleunigte Sicherheitszertifzierung（BSZ）［BSZ］を導入してこれに続いた。両機関の集中的かつ継続的な二国間協力のおかげで、両制度は共通の手法と同等の品質基準を備えている。このため、当局は2022年にこれらの制度に基づく認証書の相互承認を開始した。
International Harmonisation and Recognition of Certificates	認証書の国際的調和と承認
During the development and introduction of the Certification schemes, it became apparent that the demand for Certificates is best met when Certificates are not only focused on the national market but are recognized in other markets. This renders the need for multiple Certification procedures of the same product in different markets obsolete. Consequently, the effort and costs for product manufacturers are reduced, trade barriers are lowered, and the freed capacitates of ITSEFs and CBs can be used for the Certification of more products.	認証制度の開発と導入の過程で、認証書が国内市場だけに焦点を当てたものではなく、他の市場でも承認されることが、認証書に対する需要を最もよく満たすことが明らかになった。これにより、同じ製品について異なる市場で複数の認証手続きを行う必要性がなくなる。その結果、製品製造者の労力とコストが削減され、貿易障壁が低くなり、ITSEF と CB の解放された能力をより多くの製品の認証に利用することができる。
Mutual Recognition Agreement – Extended Cooperation	相互認証協定 - 拡大された協力関係
The BSZ scheme was developed with the aim to be compatible to the CSPN scheme. Thus, ANSSI and BSI were able to negotiate and sign a mutual recognition agreement for Certificates under those schemes in June 2022 [MRA]. This agreement is initially limited to two years and states that in principle, BSI will recognise all CSPN Certificates and in turn, ANSSI will recognise all BSZ Certificates. Some Certificates can be exempted e.g. when special national regulations apply or the Certificates are based on specific notes and interpretations of the schemes. The agreement also deepens the cooperation between ANSSI and BSI by formalising the regular technical exchange concerning CSPN and BSZ. One aim of this exchange is the further harmonisation of both schemes to reduce the amount of exemptions from recognition. Another goal is to conjointly develop new technical scopes and standardise requirements for the evaluation, e.g., common attack methods, in both schemes.	BSZスキームは、CSPNスキームと互換性を持つことを目的として開発されました。そのため、ANSSIとBSIは、2022年6月にこれらのスキームに基づく認証書の相互認証協定を交渉・締結することができた[MRA]。この協定は当初2年間に限定され、原則として、BSIはすべてのCSPN認証書を承認し、ANSSIはすべてのBSZ認証書を承認することが記載されている。特別な国内規制が適用される場合、または認証書がスキームの特定の注記や解釈に基づく場合など、一部の認証書は免除される可能性がある。この協定は、CSPNとBSZに関する定期的な技術交換を正式なものとし、ANSSIとBSIの協力関係を深めるものである。この交換の目的の一つは、両スキームの調和をさらに進め、認証の免除を減らすことである。もう一つの目的は、両制度における新しい技術スコープを共同で開発し、評価のための要件（例えば、共通の攻撃方法）を標準化することである。
Towards Standardisation and European Harmonisation	標準化と欧州のハーモナイゼーションに向けて
In addition to BSI and ANSSI, other European national cybersecurity agencies have also implemented Certification schemes based on a fixed time methodology. However, these national schemes differ in some of the key aspects and partly address different assurance levels. Thus, the Certificates of the individual schemes are not readily comparable. The new European standard EN 17640 “Fixed Time Cybersecurity Evaluation Methodology” (FiT CEM) [FiT CEM] aims to address the patchwork of different fixed time Certification schemes. It does so by providing a common evaluation methodology which subsumes the national schemes and methodologies. Therefore, EN 17640 does not strive to copy existing concepts, but to expand them in a flexible way with specified evaluation tasks for different levels of assurance. With its holistic scope and great flexibility, FiT CEM opens the possibility to implement a harmonised European Certification scheme under the European Cyber Security Act (CSA) [CSA]. These CSA Certification schemes are developed on behalf of the European Commission and under supervision of the European Union Agency for Cybersecurity (ENISA). The respective Certificates issued under those schemes are recognized in every EU member state, hence enlarging markets for certified ICT products, services and processes and further reducing the efforts and costs for manufacturers. Additionally, this large European market for certified ICT products, services and processes manifests a global influence on cybersecurity standards and product Certification.	BSIやANSSIに加え、欧州各国のサイバーセキュリティ機関も、定時法に基づく認証制度を導入している。しかし、これらの国の制度は、いくつかの重要な側面で異なっており、部分的に異なる保証レベルに対応している。そのため、個々の制度の認証書を容易に比較することはできない。新しい欧州規格EN 17640 "Fixed Time Cybersecurity Evaluation Methodology" (FiT CEM) [FiT CEM] は、異なる固定時間認証スキームのパッチワークに対処することを目的としている。これは、各国のスキームや方法論を包含する共通の評価方法論を提供することで実現している。そのため、EN 17640は、既存のコンセプトをコピーするのではなく、保証レベルごとに指定された評価タスクによって、柔軟な方法でそれらを拡張することに努めている。FiT CEMは、その全体的な範囲と大きな柔軟性により、欧州サイバーセキュリティ法（CSA）［CSA］の下で調和のとれた欧州認証スキームを実施する可能性を広げる。これらのCSA認証スキームは、欧州委員会に代わり、欧州連合サイバーセキュリティ機関（ENISA）の監督の下で開発されている。これらの制度の下で発行されたそれぞれの証明書は、すべてのEU加盟国で承認されているため、認証されたICT製品、サービス、プロセスの市場は拡大し、製造者の努力とコストはさらに削減される。さらに、認証されたICT製品、サービス、プロセスに対するこの大きな欧州市場は、サイバーセキュリティ標準と製品認証に世界的な影響を及ぼしていることを明らかにしている。
Evaluating Cybersecurity:	サイバーセキュリティの評価
Conformity of security features – do they:	セキュリティ機能の適合性 - それらは、以下の通りである。
• conform to the ones claimed by the applicant?	・申請者が主張するものに適合しているか？
• conform to claimed standards?	・要求された規格に適合しているか？
• conform to required standards?	・要求される規格に適合しているか？
Effectiveness / Robustness: Penetration testing	有効性 / 堅牢性：ペネトレーションテスト
• simulation of an attacker with predefined skills and resources	・有効性・堅牢性: ペネトレーションテスト あらかじめ定義されたスキルとリソースを持つ攻撃者のシミュレーショ ン。
• evaluators try to break or circumvent security features	・評価者は,セキュリティ機能の破壊や回避を試みる。
• each product needs an individually adapted strategy	・各製品は個別に対応する必要がある
Purpose of the Certifcation Body:	認証機関の目的
Management of the certification scheme:	認証スキームの管理
• implement evaluation methodology	・評価手法の導入
• monitor certificate use	・認証書の使用状況を監視する
• ensure qualification of evaluators employed by ITSEFs	・ITSEFが雇用する評価者の資格確保
Supervision of the evaluation:	評価の監督
• oversee each evaluation	・各評価の監督
• ensure consistent approach and methodology across all evaluations	・すべての評価において一貫したアプローチと方法論を確保する
• enforce independence of certificate	・証明書の独立性を確保する

 

 

 

フランス側

● Agence nationale de la sécurité des systèmes d'information; ANSSI

・2022.12.12 L’ANSSI ET LE BUNDESAMT FÜR SICHERHEIT IN DER INFORMATIONSTECHNIK (BSI) PRÉSENTENT UNE PUBLICATION CONJOINTE “STRENGTHENING CYBERSECURITY WITH FIXED TIME CYBERSECURITY CERTIFICATION OF IT-PRODUCTS”

 

 

EN 17640:2022...

・ EN 17640:2022Fixed-time cybersecurity evaluation methodology for ICT products