共通基準(CC)認証規格により、国際市場で複数の評価が必要になる状況が少なくなります。そのため、認証プロセスに投資するコストと労力が節約されます。
認定された高品質の製品に頼ることで、企業は可能な限り安全なソリューションを確実に実装することができます。
Utimaco CryptoServer Se-Series Gen2は、保護プロファイルEN 419221-5に基づいてCC認証を取得した市場初のハードウェアセキュリティモジュールです。U.trust Anchorプラットフォームは、EAL4+のCC認定も受けました。
詳細については、こちらをご覧ください。
CryptoServer Se - Series Gen 2 | u.trustアンカー |
認定レポート | 証明書レポート(NSCIB) |
証明書レポート(CSA) |
Utimaco認定
HSMなどのITセキュリティ製品およびコンポーネントの国際的に認められた評価基準としての共通基準の重要性
情報技術セキュリティ評価のための共通基準(Common Criteria:CC)は、IT製品およびシステムのセキュリティに関する国際的に認められた認証基準です。90年代半ばにカナダ、フランス、ドイツ、オランダ、英国、米国によって開発されました。
これらの政府の目的は、欧州ITSEC、米国TCSEC、カナダCTCPECという3つの主要なセキュリティ評価標準とその基準を統一することでした。このようにして、国際市場に販売されている製品は、事前に再評価する必要がなくなります。
2000年に署名された共通基準認定協定(CCRA)は、さまざまな国で相互に認められたCC認定を規制しています。参加者は、認定された製品に対する高い信頼性をサポートするために、厳格で標準化された評価プロセスにコミットします。複数の評価の必要性を減らし、認証プロセスに投資するコストと労力を削減することに努めています。その後、評価されたIT製品の数は増加している。
政府や民間企業は、多くの場合、共通の基準にもとづく評価を必要とします。認定された高品質の製品を主軸にすることで、可能な限り最も安全なソリューションを確実に実装することができます。その結果、ITインフラストラクチャを可能な限り効果的に保護し、ビジネスクリティカルなデータを保護することができます。
共通の基準 と eIDAS
米国政府は、多くの場合、国家情報保証パートナーシップ(NIAP)によってリストアップされた製品に頼っています。掲載されるには、共通基準の認定が必要です。同様に、ヨーロッパのeIDAS規制では、電子署名のCC評価が「適格なデジタル署名」と認められることが義務付けられています。
欧州議会および理事会の規則N ° 910/2014(eIDAS規制)は、新しい保護プロファイル定義のきっかけとなりました。PP「信頼サービスのための暗号化モジュール」は、公式標準EN 419221 -5として公開され、保証レベルEAL 4+のセキュリティ要件を定義します。
Utimacoハードウェアセキュリティモジュールは、市場で初めてCC認証を取得したHSMです
認証、電子署名、暗号化などのアプリケーションには、強力で安全に管理された暗号鍵が必要です。HSMは、高品質の暗号鍵の生成、保存、管理、および廃止時に最高レベルのセキュリティを提供します。
Utimaco CryptoServer Se - Series Gen 2は、保護プロファイルEN 419 221 -5に基づいてCC認証された最初のハードウェアセキュリティモジュールです。この評価では、トラストサービスプロバイダー(TSP)がeIDAS準拠のソリューションを顧客に提供できるようにすることを目指しています。 最近のCC認証により、Utimacoはu.trust Anchorプラットフォームの健全なセキュリティアーキテクチャとコンテナ化されたHSM間の強力な分離を証明しています。
あなたのアプリケーションにはCC認定のHSMが必要ですか?Hsm@utimaco.comまでお問い合わせください。
お客様の要件を理解し、適切な解決策を見つけることを楽しみにしています。
よく知っておくべき主要な概念と略語の一般的な基準
- 評価の対象( TOE )は、CC要件に照らして評価された製品またはシステムです。
- 一般的な機能、特にTOEのセキュリティ機能要件( SFR )は、セキュリティターゲット( ST )に記載されています。このセキュリティ標的は認識された保護プロファイル(PP)に基づいているのが好ましく、または代替的に、TOE事業者が自由に定義することも可能です。
- PPは、スマートカードやハードウェアセキュリティモジュール(HSM)など、特定のタイプの製品や、ユースケース固有の機能を持つデバイス(郵便セキュリティデバイスなど)の機能要件とセキュリティ要件を要約します。これは、複数の製品とその認証を互いに比較できるようにすることを目的としています。
CC評価は、対象のセキュリティ機能を検証し、セキュリティ対象の評価対象についての主張を確認します。製品のセキュリティ機能に信頼を置けるかどうかを判断して評価するには:
- セキュリティ保証要件( SAR )は、IT製品が請求されたセキュリティ機能またはレベルに準拠することを保証するために取られた措置を説明しています。
- 評価保証レベル(EAL)は、SARのグループに対応しています。EAL 1からEAL 7に移行し、評価がどれだけ広範囲にわたって厳密に実行されているかについての洞察を提供します。
- EAL 1は最も基本的なレベルであり、実装は最も安価です。
- EAL 7は、より高いコストとより大きなインプットが必要とされることに関連して、最も厳しいレベルです。
CCRAは、とりわけ、EAL 4までの評価保証レベルの評価が参加国間で相互に認められていると判断しています。多くの場合、EALが高い場合、国の特定の要件を含める必要があります。