・コモンクライテリアのEALについて知りたい
こんな要望に答えます。
セキュリティの高さを謳う暗号通貨は数多く存在しますが、その中でも本当に堅牢なセキュリティを有する通貨はほんの一握りです。
トークンをデジタル通貨として流通させることになる以上、セキュリティに問題があれば致命的な信用の失墜を招きます。
セキュリティの高さは、投資対象を選ぶ上でも非常に重要なファクターのひとつです。
EXコインの場合には、Evaluation Assurance Level (EAL)という国際基準をもって、客観的にセキュリティの高さの保証を得る計画です。
今回はEALについて掘り下げます。
この記事の目次
Evaluation Assurance Level (EAL) とは
EALは日本語に訳すと評価保証レベルと呼ばれ、ひとことでいえば、製品の保証要件のパッケージを意味します。
評価保証レベル(EAL:Evaluation Assurance Level)は製品やシステムが保障する機能要件の尺度を示します。
EALのレベルの高さはセキュリティ機能の高さではなく、評価を受ける製品やシステムに対する評価の深さ、広さを意味しています。
レベルの高さとセキュリティ機能が必ずしも比例関係にあるわけではない点には注意が必要ですが、高いレベルの認証を受けることができればその分「TOEセキュリティ保証」がより広範に検証され、保証されたことを意味します。
ちなみに「TOE」とは「Target Of Evaluation」の頭文字をとった言葉で、平たくいえば評価対象の製品のことです。
評価保証のレベルは一番手軽なものがEAL1であり、レーティングの上限はEAL7+まで用意されています。
数字が大きくなるほど認証のための難易度は上がり、費用も高額となります。
認証のための要件は明示されていて、クラッキングへの攻撃耐性を測るテストはコモンクライテリアの研究室で行われます。
なお、コモンクライテリア (略称:CC) は、コンピュータ・セキュリティのための国際規格であり、「ISO/IEC 15408」でもあります。
EALの保証範囲については、NTTデータの「セキュリティ評価基準コモンクライテリアとその認証制度の動向」にわかりやすくまとめてありました。
出典:金子朋子、村田松寿(2015)「セキュリティ評価基準コモンクライテリアとその認証制度の動向」650頁、株式会社NTTデータ、独立行政法人情報処理機構。
FeliCaは既にEAL6+の認証を受けていますが、EAL6・7は「軍需品など特別な用途」のため特別なカテゴライズがなされていることからわかるように、きわめて高い水準の保証であることがわかります。
少し古い記事ですが、FelicaがEAL6+の認証を受けたときの記事がありましたので紹介します。
次世代FeliCa ICチップが評価保証レベル「EAL6+」を取得、組み込みソフト搭載の非接触ICカードチップとしては世界初(ソニー)
コモンクライテリアによるEALの認証実績を分析する
Common Criteriaの公式サイトには、EALの認証を受けた製品について過去20年間に渡る統計資料が公開されています。
「Certified Products by Assurance Level and Certification Date」を元に、EALのレベル別の認証件数をグラフにしてみました。なお、「None」の項目については含めていません。
出典:Common Criteria(2019)「Certified Products by Assurance Level and Certification Date」
認証件数が突出して多いのはEAL4+で、次にEAL5+、EAL2+と続きます。
実績ある金融機関の保証レベルがEAL4前後といわれていますから、その水準で認証を受けていれば国際的な信頼を得ることができると考えられます。
身近なところでいうと、Windows2000はEAL4+の認証を受けていました。
米国政府の場合には、EAL4+の認証を受けていればIT製品導入のための要件を満たすようです。
俯瞰して見ると、やはりEAL1からEAL5+にかけての認証がボリュームゾーンのようです。
EAL6の認証はゼロ、FeliCaが認証を受けているEAL6+は過去20年間で72件しかありません。
核ミサイルの発射システムが認証を受けているといわれるEAL7・EAL7+については、計7件にとどまりました。
このグラフからも、EAL6以上の認証を受けることについての難易度が伺えます。
ちなみに、下記の記事ではEXコインのセキュリティを核ミサイルの発射システムに例えて解説しています。
EXコインは「EAL6+」の認証を受けることが可能か?
EXコインは現在EAL認定のためのテストを受けている段階です。
FeliCaが既にEAL6+を取得していることから、その技術に着想を得て開発されたEXCの場合には、EAL6+を超える評価を受ける可能性が高いと考えられます。
国際基準であるEALで6+を超える認証を得た場合、EXコインのセキュリティは世界からの厚い信頼を獲得することになります。
他の暗号通貨はEAL1の取得も難しいといわれているのが現状ですから、この点で大きな差がつきます。
EAL6+の価値を考える
実際に一国の中央銀行がデジタル通貨を採用する場合、最も重視される項目のひとつはセキュリティです。
そのとき、判断材料として真っ先に用いられるのは国際基準であるEALではないでしょうか。
暗号通貨プロジェクトのホワイトペーパーやテクニカルペーパーに耳障りの良いことが書かれていたとしても、それが本当のことなのか、政府担当者が見抜くのは至難の業です
その点、世界的に広く普及し信頼と実績に裏付けられたEALで、世界的な金融機関を超えるレベルの認証を得ていれば、EXコインの地位はより強固になるのではないでしょうか。
極論ですが、個人的には他の暗号通貨もEALのテストを受けて結果を公表すればよいと思います。
そうすれば、政府や個人はより客観的な指標で暗号通貨の相対的な価値を見定めることが可能となります。
