この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国団体は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力します。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。
この文書の作成に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令Part 1 部に記載されています。特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令Part 2 部の編集規則に従って起草されました ( www.iso.org/directives or www.iec.ch/members_experts/refdocs を参照)
ISO および IEC は、この文書の実装に特許の使用が含まれる可能性があることに注意を促しています。 ISO および IEC は、請求された特許権の証拠、有効性、または適用性に関していかなる立場もとりません。この文書の発行日の時点で、ISO および IEC は、この文書の実装に必要となる可能性のある特許の通知を受け取っていません。ただし、実装者は、これが www.iso.org/patents および https://patents.iec.ch で入手可能な特許データベースから取得できる最新情報を表していない可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。
本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および貿易技術的障壁 (TBT) における世界貿易機関 (WTO) 原則への ISO の準拠に関する情報については、 www.iso.org/iso/foreword.html を参照してください。 IEC については、 www.iec.ch/ Understanding-standards を参照してください。
この文書は、ISO/IEC JTC 1 合同技術委員会、情報技術、分科会 SC 27, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護によって作成されました。
この第 4 版は、技術的に改訂された第 3 版 (ISO/IEC 24759:2017) を廃止し、置き換えるものです。
主な変更点は以下のとおりです。
- 新しい用語が追加されました。
- AS, VE, TE は ISO/IEC 19790:2025 に従って更新されました。そして
- 効率を向上させるために、VE と TE が修正または更新されました。
導入
情報技術では、不正な開示や操作からのデータの保護、エンティティの認証、否認防止などのために、暗号化メカニズムを使用する必要性がますます高まっています。このようなメカニズムのセキュリティと信頼性は、それらが実装されている暗号モジュールに直接依存します。
ISO/IEC 19790 は、潜在的なアプリケーションや環境の広範囲をカバーすることを目的として、4 つの増加する質的レベルのセキュリティ要件を提供します。暗号化技術は、この文書で定義されている 4 つのセキュリティ レベルにわたって同一です。セキュリティ要件は、暗号化モジュールの設計と実装に関連する領域をカバーします。これらの領域には次のものが含まれます。
- 暗号モジュールの仕様。
- 暗号化モジュールインターフェイス。
- 役割、サービス、認証。
- ソフトウェア/ファームウェアのセキュリティ。
- 動作環境。
- 物理的なセキュリティ。
- 非侵襲的なセキュリティ。
- 機密性の高いセキュリティパラメータ管理。
- 自己テスト。
- ライフサイクル保証。そして
- 他の攻撃の軽減。
この文書は、ISO/IEC 19790:2025 に準拠する暗号モジュールのテスト要件を指定します。
1 スコープ
この文書は、暗号モジュールが ISO/IEC 19790:2025 で指定された要件に準拠しているかどうかをテストするためにテスト機関が使用する方法を指定します。この方法は、試験プロセス中に高度な客観性を提供し、試験機関全体での一貫性を確保するために開発されています。
この文書では、ベンダーが暗号化モジュールが ISO/IEC 19790:2025 で指定された要件に準拠していることを実証する裏付けとなる証拠として試験機関に提供する必要がある情報も指定します。
ベンダーは、テストを試験機関に申請する前に、この文書を使用して、自社の暗号モジュールが ISO/IEC 19790:2025 で指定された要件を満たしているかどうかを検証することもできます。
2 規範的参照
以下の文書は、その内容の一部またはすべてがこの文書の要件を構成する形で本文中で参照されています。日付が記載された参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 19790:2025, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護 - 暗号モジュールのセキュリティ要件
- ISO/IEC 20085-1, IT セキュリティ技術 — 暗号モジュールにおける非侵襲的攻撃軽減技術のテストに使用するテスト ツール要件とテスト ツール調整方法 — Part 1: テスト ツールと技術
- ISO/IEC 20085-2, IT セキュリティ技術 — 暗号モジュールにおける非侵襲的攻撃軽減技術のテストに使用するテスト ツール要件およびテスト ツール調整方法 — Part 2: テスト キャリブレーション方法および装置
- ISO/IEC 20543, 情報技術 - セキュリティ技術 - ISO/IEC 19790 および ISO/IEC 15408 内のランダム ビット ジェネレーターのテストおよび分析方法
3 用語と定義
この文書の目的としては、ISO/IEC 19790 および以下に示されている用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
検証証明書
暗号機能がテストされ、対象の暗号機能が正しく実装されていることが判明したという認証機関による主張
3.2
ベンダーの肯定
独自の内部保証活動に基づいて、セキュリティ機能の特定の実装が正しく、関連する標準の関連要件をすべて満たしているというベンダーの声明
注記 1:許容されるベンダーの肯定に関する規則は、特定のベンダーの肯定に関する証拠要件を独自に定義する個々の認証機関によって設定され、独立した試験機関によるレビューが必要となる場合があります。
参考文献
| 1 | ISO/IEC TS 20540, 情報技術 - セキュリティ技術 - 運用環境での暗号化モジュールのテスト |
| 2 | ISO/IEC TS 23532-2, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護 — IT セキュリティのテストおよび評価研究所の能力要件 — Part 2: ISO/IEC 19790 のテスト |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs ).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not received notice of (a) patent(s) which may be required to implement this document. However, implementers are cautioned that this may not represent the latest information, which may be obtained from the patent database available at www.iso.org/patents and https://patents.iec.ch . ISO and IEC shall not be held responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html . In the IEC, see www.iec.ch/understanding-standards .
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, Information security, cybersecurity and privacy protection.
This fourth edition cancels and replaces the third edition (ISO/IEC 24759:2017), which has been technically revised.
The main changes are as follows:
- new terminology has been added;
- ASs, VEs and TEs have been updated according to ISO/IEC 19790:2025; and
- VEs and TEs have been corrected or updated to improve efficiency.
Introduction
In information technology there is an ever-increasing need to use cryptographic mechanisms, such as for the protection of data against unauthorized disclosure or manipulation, for entity authentication, and for non-repudiation. The security and reliability of such mechanisms are directly dependent on the cryptographic modules in which they are implemented.
ISO/IEC 19790 provides four increasing, qualitative levels of security requirements intended to cover a wide range of potential applications and environments. The cryptographic techniques are identical over the four security levels defined in this document. The security requirements cover areas relative to the design and implementation of a cryptographic module. These areas include:
- cryptographic module specification;
- cryptographic module interfaces;
- roles, services and authentication;
- software/firmware security;
- operational environment;
- physical security;
- non-invasive security;
- sensitive security parameter management;
- self-tests;
- life-cycle assurance; and
- mitigation of other attacks.
This document specifies the test requirements for cryptographic modules conforming to ISO/IEC 19790:2025.
1 Scope
This document specifies the methods to be used by testing laboratories to test whether the cryptographic module conforms to the requirements specified in ISO/IEC 19790:2025. The methods are developed to provide a high degree of objectivity during the testing process and to ensure consistency across the testing laboratories.
This document also specifies the information that vendors are required to provide testing laboratories as supporting evidence to demonstrate their cryptographic modules’ conformity to the requirements specified in ISO/IEC 19790:2025.
Vendors can also use this document to verify whether their cryptographic modules satisfy the requirements specified in ISO/IEC 19790:2025 before applying to a testing laboratory for testing.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 19790:2025, Information security, cybersecurity and privacy protection — Security requirements for cryptographic modules
- ISO/IEC 20085-1, IT Security techniques — Test tool requirements and test tool calibration methods for use in testing non-invasive attack mitigation techniques in cryptographic modules — Part 1: Test tools and techniques
- ISO/IEC 20085-2, IT Security techniques — Test tool requirements and test tool calibration methods for use in testing non-invasive attack mitigation techniques in cryptographic modules — Part 2: Test calibration methods and apparatus
- ISO/IEC 20543, Information technology — Security techniques — Test and analysis methods for random bit generators within ISO/IEC 19790 and ISO/IEC 15408
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 19790 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1
validation certificate
assertion by a certification body that a cryptographic function has been tested and found to be a correct implementation of the target cryptographic function
3.2
vendor affirmation
statement from a vendor that a given implementation of a security function is correct and meets all relevant requirements from related standards, based on their own internal assurance activities
Note 1 to entry: Rules on acceptable vendor affirmations are set by individual certification bodies who independently define evidence requirements for a given vendor affirmation and can require review by an independent testing laboratory.
Bibliography
| 1 | ISO/IEC/TS 20540, Information technology — Security techniques — Testing cryptographic modules in their operational environment |
| 2 | ISO/IEC/TS 23532-2, Information security, cybersecurity and privacy protection — Requirements for the competence of IT security testing and evaluation laboratories — Part 2: Testing for ISO/IEC 19790 |