調査の実施

2.5.1 調査目的

本調査は、2章で記載したとおり、セキュリティ評価・認証制度の普及を妨げている阻害 要因を抽出し、解決策の提言並びに同制度の将来的な利用予測について言及する。

2.5.2 調査方法

文献調査、ヒアリング、及びアンケートによる調査。

2.5.3 調査項目

(1) ヒアリング調査の項目

●セキュリティ評価・認証制度利用時の立場（評価機関、調達者、メーカやベンダ ー

●セキュリティ評価・認証制度を利用した製品の種類

●評価を受けた対象（PP、ST、TOE）

●上記対象の作成に携わった技術者数並びにキャリア（人数、入社年次、専門分野、

職位など）

●上記評価対象の作成にかかった時間と費用

●作成上苦労した事柄

●セキュリティ評価・認証制度に対する所感

●率先して利用すべきか否か

●上記質問に対する理由

●利用するとした場合の動機付けは何か

●その他

(2) アンケート調査項目

●ITセキュリティ評価・認証制度の認知状況

●ITセキュリティ評価・認証制度を利用した製品の利用状況及び製品種類

●評価を受けた対象（PP、ST、TOE）

●ITセキュリティ評価・認証制度を利用していない理由

●セキュリティ対策におけるITセキュリティ評価・認証制度の位置づけ

●セキュリティ製品・サービスの調達・購入におけるITセキュリティ評価・認証 制度に関する意識

●ITセキュリティ評価・認証を受けた製品・サービスに求める認証水準

●ITセキュリティ評価・認証を受けた製品・サービスの価格に関する割高の上限

●他の認証制度の取得状況

●その認証を取得された理由

●取引先･監督官庁からの各種認証取得の要請の有無

●情報セキュリティに関する情報入手先

2.5.4 調査結果

(1) ヒアリング調査要約

①業界団体A

  立場 ：調達者 製品／機能 ：ICカード

      ：アプリケーションのプログラム・ローディング機能 評価対象 ：Protection  Profile（PP）

技術者／キャリア等 ：業者委託のため不明

時間／費用 ：PP2本で約2ヶ月、数千万円

普及における問題点 ：1）PP、STを作成できる、或いは評価できる技術者 不足（評価機関、調達者、メーカやベンダー共々）

  2）通常の製品開発より余分な時間、費用がかかり開

発自体を圧迫する

  3）評価を得ても日常運用ではパッチ適用やバージョ

ンアップ等への対応が必要になる

  4）評価機関も不足している。現行数では、電子政府

への対応は困難

②メーカB

立場 ：メーカやベンダー 製品／機能 ：ICチップとソフト 評価対象 ：Security  Target（ST）

技術者／キャリア ：4名。うち2名は入社15~20年クラス、残りは入社5 年目程度

時間／費用 ：約2ヶ月程度  人件費のみで約300万程度 普及における問題点 ：1）作成できる技術者不足

  2）規格自体が難しい

  3）通常の製品開発より余分な時間、費用がかかり開

発自体を圧迫する

  4）知名度不足

  5）民間企業の利用にけるインセンティブがない

③評価機関C

立場 ：評価機関

製品／機能 ：特定の製品はない

評価対象 ：現在は Security Target（ST）のみ、将来的には Protection Profile（PP）、Target of Evaluation

（TOE）の評価認証も目指す 技術者／キャリア ：不明（回答が得られなかった）

時間／費用 ：不明（回答が得られなかった）

普及における問題点 ：1）規格自体が難しいので人材育成に時間がかかる

  2）普及方法に問題あり、海外事例などをもっと研究

すべきである

  3）文化的な素地が日本にはない

④評価機関Ｄ

立場 ：評価機関

製品／機能 ：ICカード製品を得意分野とする

評価対象 ：Security Target（ST）、Protection Profile（PP）、 Target of Evaluation（TOE）の評価認証。

技術者／キャリア ：10人（NITEの有資格者は1人）

時間／費用 ：1人月2,500千円で3ヶ月〜1年

普及における問題点 ：1）規格自体が難しいので人材育成に時間がかかる

  2）評価費用についての相場観が形成されていない

  3）メーカ等ではこの規格を理解できる人材が限られ

る

⑤メーカE

立場 ：メーカやベンダー 製品／機能 ：ファイアウォール製品

評価対象 ：Target of Evaluation（TOE）

技術者／キャリア ：数名（一桁）

時間／費用 ：開発費全体で数千万円の水準 普及における問題点 ：1）作成できる技術者不足

  2）余分な時間、費用がかかり開発自体を圧迫する

  3）ISO/IEC 15408の規格自体が現状のスパイラル型

システム開発手法と合致しない点が多い

(2) アンケート調査結果抜粋

図表 2.5 セキュリティ評価認証制度に関する企業アンケート調査抜粋（1）

設問内容 民間 公共 合計

「IT セキュリティ認証制度について知って いる」（N=275）で知っていると回答した割合

28％ 30％ 29％

「本制度の認証取得製品を利用している」

（N=80）で利用していると回答した割合

20％ 23％ 21％

「本制度の認証取得製品を利用していない理 由」で（N=35）本制度の認証の有無を気にし ていないと回答した割合

27％ 66% 28%

「IT セキュリティ認証制度をどのように考 えているか」（Ｎ＝275）で本制度をあまり重 視していないと回答した割合

33% 33% 33％

「何らかの評価認証取得の製品を選択する」

（N=275）で選択していると回答した割合

27％ 35％ 29％

「IT 評価認証制度の認証取得の製品価格が 高くても買う」（N=275）で買うと回答した割 合

50％ 62％ 52％

「高くなる場合の価格の上限は 10%以下」

（N=144）で肯定している割合

72％ 73％ 73％

情報セキュリティに関する情報の入手源とし て、「システムベンダー」と回答した割合

（N=275）

50% 50% 50%