ITセキュリティ認証取得プロセス改善の取り組みについて

２０１１年８月２５日
株式会社リコー

リコーは、デジタル複合機を対象に、情報セキュリティに関する国際標準に適合した認証取得を進めてきました。この度、認証制度に関わる機関と共同で、セキュリティ認証取得プロセスの改善に取り組みました。

ITセキュリティ評価及び認証制度

国際的なセキュリティ評価基準であるCommon Criteria（ISO/IEC 15408）に基づく、IT製品におけるセキュリティに関する評価認証制度が、独立行政法人情報処理推進機構（以下、IPA）によって運営されております。

この制度を利用することにより、IT製品の開発者は、国際標準に基づき、IT製品・システムの安全性の高さを利用者にアピールできます。また、お客様も国際標準に基づいて認証された製品として安心して利用することができます。

デジタル複合機(以下、MFP)業界においても、お客様に安全に製品をお使いいただくためにこの制度が積極的に利用されています。最近は、MFPが備えるべきセキュリティ基準として2009年に制定された国際標準IEEE2600.1に適合した認証が取得され始めています。

政府機関の統一的なセキュリティ対策ガイドラインである「政府統一基準」(2011年4月21日改訂)において、MFPを含む6品目で本認証制度の積極的な利用が謳われたこともあり、今後政府調達において、この制度における認証製品の更なる利用が予測されます。

リコーの認証取得実績

リコーでは、セキュリティレベルの向上によりお客様へ新たな価値を提供するために、この制度による自社MFPの認証取得を進めてきました。2010年2月にはimagio MP 5000 SP/4000 SPで、世界初のIEEE2600.1適合の認証を取得しています。

プロセス改善の取り組みと今後の展開

この制度は今後の認証取得製品分野の拡大を踏まえ、より多くの認証申請に効率的に対応していく必要がありますが、下記のような課題がありました。

上記課題に対する制度改善の一環として、IPAにより、リコーのデジタル複合機の認証プロジェクト2件(認証番号C0286およびC0299)が改善のパイロットとして選定されました。そこで、リコーは、株式会社電子商取引安全技術研究所（評価機関）と共に、2010年9月15日から2011年8月10日にかけて、スケジュール可視化の取り組みに協力を行ないました。

申請者、評価機関、認証機関で相互にスケジュールおよび進捗状況を情報共有し、各フェーズで発生し得る遅延リスクを早い段階で明確にしました。これにより事前スケジューリングやリソースの最適配置等の適切な対応が取りやすくなり、遅延の発生に対して全体スケジュールに与える影響を最小限にできることを確認しました。また可視化された情報の分析結果を、同時期に評価・認証を行っていたリコーの他案件にフィードバックすることで、よりスケジュール管理の精度を高められることも確認しました。

結果として、パイロットプロジェクトでは当社比で10%期間短縮でき、また遅延リスクの分析が行なえることで次の案件にフィードバックすることができ、認証取得プロセスの改善が行なえました。

　今後は、適用対象プロジェクトの横展開を視野に入れた取り組みがIPAで予定されているため、引き続き制度改善に対する取り組みに協力していく予定です。

関連リンク

• ITセキュリティ評価及び認証制度における制度改善の取り組みについて
• 「ITセキュリティ評価プロセス改善の取り組み」について
• リコーの複合機が情報セキュリティに関する国際的な規格で認証を取得