JCMVPは絶賛失敗中
JCMVPは絶賛失敗中ですね。
失敗の原因は山ほどありますが、認証を受けた製品の
セキュリティポリシーを読んでいると何これ?という記述が
ちらほら見受けられます。
失敗の原因は大きく分けて
- 試験機関・認証機関のFIPS 140-2, ISO 19790への知識不足
- 認証機関におけるJCMVPに対する理念の欠如
- 需要の低さ
、ではないのでしょうか。
需要の低さはもうずっと前から言われていることですが、
結局売れないものにコストをかける馬鹿なベンダーはいないのです。
米国では、FISMAで暗号を用いる製品は必ずFIPS 140-2に適合し、
CMVPにおいて認証を取得することが要求されていますが、日本は
政府統一基準の強化遵守事項で記述がちょろっとあるくらい。
それも直接的にJCMVPについて記述されているのではなく、
JCMVPのことを言っているんだろうなぁ、とくみ取れるレベル。
仕様書にJCMVPのことを記述されているのは未だに見たことが
ありません。
IPAはCC(ISO/IEC 15408)が日本で大きくコケたのに、また
同じ失敗をJCMVPで犯す学習能力の低さです。