情報セキュリティ
最終更新日:2023年12月15日
本制度においては、規程の見直しを定期的に実施しております。
申請書等の様式は、掲載しております最新版(CCM-02-A、CCM-03-A)をご使用ください。
新規程の内容をよくご理解いただき、今後の申請手続きにおけるご準備をお願いします。
本制度の運営の改善のため、以下のとおりCCRA文書に準拠することを目的に関連する規程類の一部を改正し、2023年12月15日付け施行しました。
1.改正対象の規程、要求事項、手順及び手引
・ITセキュリティ評価及び認証制度の基本規程 (CCS-01)
・ITセキュリティ認証機関の組織及び業務運営に関する規程 (CCM-01)
・ITセキュリティ認証等に関する要求事項 (CCM-02)
・ITセキュリティ認証業務取扱手順 (CCM-01-A)
・ITセキュリティ認証申請等のための手引 (CCM-02-A)
2.認証有効期限の適用に関する変更
2021年9月30日に、認証書の有効期限に関する要求事項が定められているCCRA文書「認証書の有効性:運用手順 v1.0」が発行されました。当該CCRA文書に基づき、認証書に有効期限(認証日+5年)を記載します。
ハードウェア(スマートカード等)区分に対する経過措置として、当該CCRA文書の発行日(2021年9月30日)以前に認証されている場合、認証書の有効期限は発行日の5年後の2026年9月30日にします。
3.認証有効期限の延長等に関する変更
保証継続の枠組みを定めたCCRA文書が更新され、「保証継続:要求事項v3.0」が発行されました。
当該CCRA文書に基づき、保証継続の定義を「認証済みTOEやその環境が変更された場合、適用可能な過去の評価結果を再利用する為に、認証維持及び再評定を定義し、以前の評価を承認する枠組み」としました。現行の本制度の用語における「保証継続」は「認証維持」に変更すると共に、認証維持の申請期限について認証日から2年後までを認証有効期限の3か月前までに変更しました。
更に、当該CCRA文書に基づき、再評定の仕組みを導入しました。再評定とは、「認証済みTOEは変更されていないが、当該TOEに対する攻撃に関わる各種状況の変化を評価して、当該TOEが初回に認証されたときと同じレベルの耐性に達しているかを確認すること」です。再評定の仕組みを用いて、認証有効期限を延長することができます。
4.申請書類の変更<様式集 (CCM-02-A)>
規程類の一部改正に伴い、以下の申請書類を変更及び再評定申請書を追加しました。
・認証維持申請書:(CCM-02-A) 様式2
・申請取下げ届:(CCM-02-A) 様式7
・認証書等再交付請求書:(CCM-02-A) 様式9
・英文認証報告書・ST掲載依頼書:(CCM-02-A) 様式18
・認証維持事前レビュー依頼書:(CCM-02-A) 様式20
・再評定申請書:(CCM-02-A) 様式23
本制度の運営の改善のため、以下のとおり手続きの電子化を推進することを目的に関連する手順及び手引の一部を改正し、2023年11月1日に施行しました。
1.改正対象の手順及び手引
・ITセキュリティ認証業務取扱手順 (CCM-01-A)
・ITセキュリティ認証申請等のための手引 (CCM-02-A)
・ITセキュリティ評価機関承認申請等のための手引 (CCM-03-A)
・ST確認申請等のための手引 (STM-01-A)
2.申請手続きに関する変更
申請者及び評価機関の皆様からご提出いただく申請書類の提出において、電子データ(注意1)の提出を認め、紙媒体による提出を必須としません(注意2)。
注意1:パブリック認証局より発行された組織名義の電子証明書を使用した電子署名が必要です。
注意2:「法人格を証明できる書類」はこれまでどおり原本を提出してください。
3.認証書等の発行に関する変更
認証書等は電子署名した電子データでの発行となります。書面(紙媒体)による発行は、別途申請に応じて対応します。
4.契約の締結に関する変更
申請書との間で締結する秘密保持契約の契約方法は、IPAにて導入している電子契約になりました。申請者の方で電子契約の対応が困難な場合は、これまでどおり書面での契約も可能です。
5.申請書類の押印に関する変更<様式集 (CCM-02-A)、(CCM-03-A)、(STM-01-A)>
以下の申請書類における押印を廃止しました。
・評価作業実施計画書:(CCM-02-A) 様式4
・評価作業実施計画書:(STM-01-A) 様式3
・評価の公平性及び独立性チェックリスト (評価者)の【評価者欄】:(CCM-02-A) 様式5-2、(STM-01-A) 様式4-2
・認証製品リストへの公開日を指定する申請:(CCM-02-A) 書式自由
・認証製品リストへの公開開始の依頼:(CCM-02-A) 書式自由
・評価機関 問い合わせ窓口・評価機関リスト掲載情報届:(CCM-03-A) 様式18
・認証要員適格性チェックリスト:(CCM-01-A) 様式2-1、様式2-2
本制度に係る基本規程、組織・業務運営に関する規程、申請者に関する要求事項、申請手続に関する手引及び業務取扱手順には、次のものがあります。
本規程は、ITセキュリティ評価及び認証制度について定めるとともに、本制度に関して、IT製品及びシステムの供給者、利用者並びに本制度の運営に関係する者が遵守しなければならない基本的事項を定めています。
本要求事項は、ITセキュリティ評価及び認証制度において、申請者が認証を得るために必要な事項、及び認証を得た申請者がその認証を維持するために必要な事項を定めています。
本手引は、ITセキュリティ評価及び認証制度において、申請者が認証を得るために必要な認証申請及びその維持等を行うための手続を定めています。
本要求事項は、ITセキュリティ評価及び認証制度において、評価機関が認証機関による承認を得るために必要な事項、及び承認を得た評価機関がその承認を維持するために必要な事項を定めています。
本手引は、ITセキュリティ評価及び認証制度において、評価機関が承認を得るために必要な承認申請及びその維持等を行うための手続を定めています。
本規程は、ISO/IEC 17065「適合性評価-製品,プロセス及びサービスの認証を行う機関に対する要求事項」(JIS Q 17065)に従い、ITセキュリティ評価及び認証制度の認証機関としての活動するための組織、運営方針、組織運営に関する基本事項を定めています。
本手順は、ITセキュリティ評価及び認証制度の認証機関として、認証及びST確認を実施する業務手順を定めています。
本手順は、ITセキュリティ評価及び認証制度の認証機関として、評価機関承認及び評価者資格付与を実施する業務手順を定めています。
本手順は、ITセキュリティ評価及び認証制度の認証機関として、運営に係る要員及び委員会に関する事項を定めています。
更新前の規程については旧規程集に掲載しております。
2023年12月15日
2023年8月17日
