CC認証へのリコーの取り組み

CC（ISO/IEC 15408^*1）認証とは

Common Criteria（CC）は情報セキュリティのための国際評価規格で、IT製品が備えるべきセキュリティ機能が適正に開発されているかを評価する規格です。お客様はIT製品の調達時に、CC認証（ISO/IEC 15408）というセキュリティ規格を用いて要求仕様を明確に製品提供者に伝えることができ、各社のセキュリティ機能を比較検討することができます。

現在、世界の20ヶ国以上で政府の調達基準となっており、近年では国内外の複合機ベンダーが複合機においても積極的に認証取得を行っています。また、他業種においても国際市場競争力の確保に本制度が利用されています。

• *1　Common Criteria（CC）とISO/IEC 15408は、更新のタイミングは異なりますが内容は同じです。

IEEE 2600とは

IEEE 2600は、2003年に複合機の主要ベンダーを中心に、複合機において、それまで各社でバラバラに決められていたCC認証取得機能を、顧客視点でどうあるべきかを業界各社が集まって規定した国際標準です。リコーは、IEEEのワーキンググループにおいて積極的な活動を行い、「プロテクション・プロファイル（PP：Protection Profile）」の策定に貢献しました。

IEEE 2600には、軍・政府向け用、大手企業向け用、公共スペース用、SOHO用などの用途別に作成されたPPと呼ばれる文書が含まれています。PPは、CC認証評価の対象となるセキュリティ機能 / 条件等を特定する文書として利用されます。これのPP適合を「セキュリティターゲット（ST： Security Target）^*2」に組み込んでCC認証評価を受けることで、CC認証においてPP適合していることが認められます。IEEE2600の同じPPに適合している製品であれば、同一レベルのセキュリティ機能が搭載されていることになります。

IEEE 2600のPP文書には以下のものがあります。想定される使用環境ごとにPPが定義されています。

IEEE 2600.1［環境A］	特に高いセキュリティ環境での機能要件を記述したもの
IEEE 2600.2［環境B］	軍、政府系や大手企業などの高いセキュリティ環境での機能要件を記述したもの
IEEE 2600.3［環境C］	公共スペースでのセキュリティ環境を要求されるもの
IEEE 2600.4［環境D］	SOHOでのセキュリティを要求されるもの

• *2　セキュリティターゲット（ST）とは、IT製品やシステムが備えるべきセキュリティ機能に対する要件とその仕様をまとめたセキュリティ設計仕様書のことで、国際基準であるISO/IEC 15408の中で規定されています。

HCD PP v1.0：ハードコピーデバイス（ディジタル複合機）プロテクションプロファイルv1.0とは

ハードコピーデバイス（ディジタル複合機）プロテクションプロファイルv1.0は、2012年に国際的なセキュリティ評価認証制度の利用者団体CCUF（Common Criteria Users Forum）において、MFP TC（Multifunction Printers Technical Community：ディジタル複合機 技術部会）を創設し、日米の認証機関や、リコーをはじめとした各複合機メーカー主導のもと、政府調達のセキュリティ要件としてのデジタル複合機用のプロテクションプロファイルです。