1. 導入:ST確認申請の重要性と課題
情報セキュリティ製品の開発において、製品のセキュリティ機能が適切に定義されていることを第三者機関が確認する「ST確認制度」は、製品の信頼性を高める上で極めて重要です。しかし、申請手続には厳格な書類作成と手続きが求められ、不備があると審査の遅延や、最悪の場合は受理されないリスクがあります。本記事では、実務担当者が効率的かつ確実に申請を行うためのポイントを解説します。
2. 基礎知識:ST確認制度とは
ST(Security Target:セキュリティターゲット)とは、IT製品が満たすべきセキュリティ要件を記述した文書のことです。IPAが運営する「JISEC(ITセキュリティ評価及び認証制度)」において、このSTが評価基準(ISO/IEC 15408)に適合しているかを事前に確認するのが「ST確認制度」です。これにより、本評価に入る前に要件定義の妥当性を担保できます。
3. 実装/解決策:申請準備の鉄則
申請を円滑に進めるための具体的なステップは以下の通りです。
① 最新様式の確認
IPAサイトから常に最新の「STM-01-A 様式集」をダウンロードしてください。様式は規程の改正に伴い変更されるため、過去の使い回しは厳禁です。
② 書類管理の徹底
法人格を証明する書類(6か月以内)や誓約書、評価提供物件のリストなど、揃えるべき書類は多岐にわたります。特に「評価作業実施計画書」は評価機関との連携が必要となるため、余裕を持ったスケジュール調整が不可欠です。
③ 電子提出のセキュリティ対策
一部書類は電子メール送付が可能ですが、その際はPGP暗号化が必須です。あらかじめ評価機関とPGP鍵の取り交わしを行っておくことが重要です。
4. サンプルプログラム:申請書類の進捗管理用スクリプト
実務における「提出書類の抜け漏れチェック」を自動化する簡易的なPythonコードです。提出が必要な書類リストを辞書で管理し、ステータスを可視化します。
申請書類の管理用簡易チェックリスト
documents = {
“ST確認申請書”: False,
“法人格証明書”: False,
“誓約書”: False,
“ST本体”: False,
“評価提供物件リスト”: False,
“秘密保持契約書”: False
}
def check_application_readiness(doc_dict):
print(“— ST確認申請書類チェックリスト —“)
ready = True
for doc, status in doc_dict.items():
state = “完了” if status else “未完了”
print(f”{doc}: {state}”)
if not status:
ready = False
if ready:
print(“\n全ての書類が揃いました。申請可能です。”)
else:
print(“\n未完了の書類があります。確認してください。”)
準備が完了したものからTrueに変更する
documents[“ST確認申請書”] = True
documents[“ST本体”] = True
チェック実行
check_application_readiness(documents)
5. 応用・注意点:現場で陥りやすい罠
・ハードウェアの除外
ST確認制度はソフトウェア製品が対象です。ハードウェア製品は対象外となるため、申請前に自身の製品が対象要件を満たしているか、規程(STM-01)を再確認してください。
・手数料の支払い
一度支払った手数料は、申請を取り下げても返金されません。書類に不備がないか、提出前に評価機関と入念な事前相談を行うことが、コストと時間を無駄にしない最大のコツです。
・変更届の期限
確認書発行後に内容に変更が生じた場合、30日以内に「確認書等記載事項変更届」を提出する義務があります。この期限を過ぎないよう、申請後のプロジェクト管理にも十分注意してください。
コメント