JCMVPは絶賛失敗中

JCMVPは絶賛失敗中ですね。

失敗の原因は山ほどありますが、認証を受けた製品の
セキュリティポリシーを読んでいると何これ？という記述が
ちらほら見受けられます。

失敗の原因は大きく分けて

• 試験機関・認証機関のFIPS 140-2, ISO 19790への知識不足
• 認証機関におけるJCMVPに対する理念の欠如
• 需要の低さ

、ではないのでしょうか。
需要の低さはもうずっと前から言われていることですが、
結局売れないものにコストをかける馬鹿なベンダーはいないのです。
米国では、FISMAで暗号を用いる製品は必ずFIPS 140-2に適合し、
CMVPにおいて認証を取得することが要求されていますが、日本は
政府統一基準の強化遵守事項で記述がちょろっとあるくらい。
それも直接的にJCMVPについて記述されているのではなく、
JCMVPのことを言っているんだろうなぁ、とくみ取れるレベル。

仕様書にJCMVPのことを記述されているのは未だに見たことが
ありません。

IPAはCC（ISO/IEC 15408）が日本で大きくコケたのに、また
同じ失敗をJCMVPで犯す学習能力の低さです。