ITセキュリティ評価の制度構築に向けたオンラインセミナー

2021年2月26日と3月16日に、日本とベトナムをオンライン接続して、情報セキュリティに関する評価制度構築に向けたオンラインセミナーを開催しました。日本からは情報処理推進機構（Information-technology Promotion Agency（IPA））および日本の評価機関、JICA本部から1回目・2回目それぞれで16名が（プロジェクトメンバー3名含む）、ベトナムからは情報通信省情報セキュリティ局（AIS）から1回目13名・2回目9名が参加しました。

セキュリティ評価制度は国際基準である、Common Criteria（CC）に則っとることが期待されています。評価制度やCCについては過去の研修に関するニュースをご覧ください。

• セキュリティ評価基準に関する研修（2020年8月18日）
• Common Criteria評価のためのISO-17025（試験所及び校正機関の能力に関する一般要求事項）に関する研修（2021年2月24日）

2日間のセミナーを通して、日本側からは認証機関・評価会社の双方から、CC認証制度に関して全般的な話から実務に関する経験まで幅広く説明することができました。

AISからは事前質問も含めて具体的な質問が数多くあり、主に以下の点に集中して議論が行われました。
・日本のセキュリティ評価を認証する仕組みや責任機関を定めた法的根拠
・制度設立時の経緯や設立前の状況
・政府におけるIT機材調達のセキュリティガイドライン
・評価認証にかかるコスト
・評価機関になるためのロードマップ、CCRAへの加盟方法
・製品評価認証後の脆弱性管理やモニタリング
・評価室や評価対象製品に関すること

日本側はベトナムから繰り出される矢継ぎ早の質問と本気さに圧倒されながらも、丁寧に質問に答えて、議論が白熱する中で、CC認証制度確立への熱意が日本側へ十分に伝わりました。CC認証の国際的な枠組みに参加しようとするアジアの国の支援を行うことの前向きな雰囲気が日本側関係者の中で醸成されたことは、1つの大きな成果であるといえます。

東南アジアでCC認証の枠組みに参加しているのは、認証国としてはシンガポール・マレーシア、認証結果の受け入れ国としてはインドネシアとなっています。近い将来ベトナムが、まずは認証結果の受け入れ国として参加できることを目指して、プロジェクトでも引き続き支援を行ってきます。