.png)
コモンクライテリアとは何か、認定を受ける方法
約2年前、私は幸運にも連邦プロダクトマネージャーとしてイルミオチームに加わることができました。最初の業務は、 FIPS 140-2 および GSA セクション 508 への準拠など、連邦政府が要求する必要な製品認証を取得することでした。最近、イルミオコアはコモンクライテリアと呼ばれる別の重要な政府セキュリティ認証を取得しました。この認証により、イルミオは、アクセス制御ポリシーの定義と管理に焦点を当てた、エンタープライズセキュリティ管理のための国家情報保証パートナーシップ(NIAP)標準保護プロファイル 、ポリシー管理v2.1に準拠した認定を受けた最初のエンタープライズセキュリティベンダーになりました。
政府機関(および非連邦組織)が、高度な持続的な脅威から高価値資産を保護しようとする中、ホストベースのセグメンテーションを効果的に展開するために、セキュリティをネットワークアーキテクチャから 切り離 す必要性が最優先事項となっています。Illumio Core は、セキュリティをネットワークから分離し、ホストでセグメント化し、顧客が実行されている場所を問わず重要なアプリケーションを保護するセグメンテーションポリシーを作成して適用できるようにします。
では、コモンクライテリアとは一体何なのでしょうか?NIAP 保護プロファイルとは何ですか?そして、なぜこれが連邦政府にとって重要なのでしょうか?少し掘り下げてみましょう...
コモンクライテリアとは?
コモンクライテリア は、商用ベンダーが政府に提供するIT製品の情報保証(IA)を評価するために使用される、国際的に認められた一連のセキュリティ標準をリストしています。共通基準承認協定(CCRA)は、米国、オーストラリア、フランス、英国、ドイツ、オランダ、韓国などを含む30の加盟国で構成されています。CCRAで評価されるIT製品は、すべての加盟国によって相互に認められているため、企業は一度評価して多くの国に販売することができます。これは、保証要件に対する IT セキュリティ製品の機能と機能の評価の一部です。
セキュリティ評価は厳格かつ包括的であり、承認されたサードパーティの独立したラボによって実施されます。IA テストは、評価対象の製品に出入りする情報またはデータの使用、処理、保存、および送信に関連するリスクを評価するように設計されています。保護プロファイルの一部は、製品がすべてのPP要件に準拠している必要があることです。
コモンクライテリアには、いくつかの重要な重要な概念があります。
- セキュリティ目標: 評価対象のプロジェクトの機能を明示的に明記する必要があります
- 保護プロファイル: 特定のクラスの関連製品の標準要件セットに使用されるテンプレート
- 評価保証レベル: 製品とそのテスト方法を定義します。EALの範囲は1から7で、最大値7、最小値1です
- 評価対象:コモンクライテリア認証の審査対象となるシステムまたはデバイス
- セキュリティ機能要件: 固有のセキュリティ機能を参照する要件
イルミオコアの場合、評価の重要な部分は、機能豊富な監査およびセキュリティ機能のセットに焦点を当てました。Common Criteria では、ベンダーは、セキュリティ ターゲットの草案を作成することによって評価されるセキュリティ機能要求を定義します。セキュリティターゲット内では、評価の範囲は評価ターゲット(TOE)によって識別されます。Illumio Coreの場合、TOE(または評価範囲)には、 Policy Compute Engine(PCE) と Virtual Enforcement Node(VEN)が含まれていました。
NIAP 保護プロファイルとは何ですか?
2009 年、米国のコモン クライテリア評価スキームである National Information Assurance Partnership (NIAP) は、すべてのコモン クライテリア認証が承認された NIAP 保護プロファイルから直接セキュリティ要件に準拠することを義務付けるようにポリシーを更新しました。以前は、コモンクライテリアの機能要件は、評価保証レベル(EAL)フレームワークを介して個々のベンダーによって定義されていました。NIAP 保護プロファイルの変更により、コモン クライテリアの機能要件は、特定のテクノロジー クラス(ポリシー管理、ファイアウォール、VPN など)のセキュリティおよびテスト要件に対処するように調整されます。
保護プロファイルに対して評価を受ける製品は、保護プロファイルで指定された機能要件に 100% 準拠する必要があります。保護プロファイルの99%のみに準拠することは受け入れられず、 認証に合格するには完全かつ完全なコンプライアンスが必要です。保護を強化する方法の 1 つは、 完全なエンドポイント セキュリティを確保することです。厳格なセキュリティ要件は、上記のコモンクライテリア認証の厳格かつ包括的な性質を物語っています。それで最後のポイントにたどり着きます...
なぜ政府はコモンクライテリアとプロテクションのプロファイルに関心を持つのでしょうか?
まず、米国の国防機関に対しては、米国政府による情報保証およびIA対応IT製品の取得を規定する米国の国家安全保障政策NSTISSP #11によってコモンクライテリア認証が義務付けられています。要するに、国家安全保障システム (NSS) を保護する目的で国防総省に製品を販売したい IT またはセキュリティ ベンダーの場合は、コモン クライテリアが必要です。
次に、行政管理予算局のIT ダッシュボードによると、米国国防総省(DoD)は2019会計年度に非機密情報技術契約に 380億ドル を費やす予定だ。商用ベンダーが国防総省にIT製品を販売するために克服しなければならない最大のハードルの1つは、コモンクライテリアなどの必要な政府コンプライアンスおよび製品セキュリティ認証を取得することです。NIAP が指摘しているように、「米国政府の保護プロファイルへの準拠を主張する NIAP 製品準拠リスト (PCL) に記載されている製品は、NIST および NSA が適切とみなす最低セキュリティ レベルを満たしており、一般に、そのような主張をしていない製品よりも優先されるべきです。」
さらに、NIAP は次のように述べています:「特定の技術分野について承認された米国政府の保護プロファイルが存在するが、保護プロファイルに準拠した検証済みの製品が使用できない場合、買収組織は購入前に、ベンダーに評価と検証のために製品を提出することを要求する必要があります...承認された保護プロファイルに反して。」
ご覧のとおり、NIAP Protection Profiles に基づくコモン クライテリア認証は、商用製品やソリューションの取得に関して、米国政府に対する重要な IT コンプライアンス チェックとして機能します。
最後に、この重要な成果に対してイル ミオの製品 開発およびエンジニアリングチームのすべての人々、およびイルミオのNVLAPラボとしての優れた仕事をしてくれたシグナコムソリューションズの有能なチームに感謝とお祝いを申し上げます。
イルミオのコモンクライテリアおよびその他の政府セキュリティ認証の詳細については、以下をご覧ください。
.webp)
