TÜViT GmbH

弊社が日本の現地代理店を務めている
ドイツのセキュリティ評価機関 TÜViT GmbHのサービスを詳しくご紹介します。

TÜViT

TÜViTは、グローバルに活躍するドイツのセキュリティ評価機関です。ハードウェア、ソフトウェア、AI、アプリケーションシステム、インフラ、製品、これらを取り巻くプロセスなど、多岐に渡る分野を対象に、製品やサービスの評価・認証のほか、特定の規格への対応のサポートや、データプライバシー保護のためのサポートなどを提供しています。ここでは、その一部を取り上げ、ご紹介いたします。

AI (人工知能) のセキュリティ

TÜViTでは、企業が堅牢で信頼性が高く、かつプライバシーに適切に配慮したAIアプリケーションを開発・運用できるよう、以下のような総合的なサポートを提供しています。

  • 自動車領域のAIベースのバーチャルセンサー
    ISO 26262に準拠しつつ、AI特有の課題やリスクを分かりやすい要件に変換し、従来の安全基準とのギャップを解消。
  • AIに関するコンプライアンス
    欧州AI法やISO規格への適合性の評価、対策の特定、研修の提供など。
  • 個々のニーズに合わせたAIに関する研修
    AIに関する基礎知識、課題や限界、その企業での応用可能性、AIのセキュリティに特化した内容など。
  • AIのセキュリティ・テスト
    AIのセキュリティ・ギャップや脆弱性を未然に発見するためのテストの他、法令・規格との適合性の評価、対策の特定のサポート、研修の実施など。
  • AIの堅牢性テスト
    AIアプリケーションの潜在的リスクの評価、技術的堅牢性の確認、対策の特定、研修の実施など。
  • AIのプライバシー面の確認
    従来のGDPR (欧州一般データ保護規則) のコンプライアンス評価を拡張し、AI特有のプライバシーに関する問題に焦点を当てたリスクや規格・法令への適合性評価、技術的検証 (AIによって「匿名化」された個人情報等の復元など) や今後の対策の特定を実施。

様々な標準・規格に基づくハードウェアとソフトウェアの評価

スマートフォンやクレジットカード、身分証明書など、今日、私たちの身の回りの様々なものに個人情報や指紋などの生体情報、PINコードなどの重要なデータが組み込まれたチップやセキュリティ・モジュールが搭載されています。TÜViTでは、これらのセキュリティ・モジュールのサイドチャネル (Side Channel) 攻撃等への耐性やソフトウェアの安全性などを様々な規格・標準に則って評価しています。

  • コモンクライテリア (ISO/IEC 15408)
    ドイツ連邦情報セキュリティ庁 (BSI) の認定機関として、 700件以上のプロジェクト (EAL1からEAL7)をサポート。また、ドイツだけでなく、JISEC (日本)、SCSS (シンガポール)、QCCS (カタール)、NSCIB (オランダ)での認証取得にも対応。
  • FIPS 140-3
    米国で暗号化コンポーネントを搭載した製品を販売する場合に必要な暗号アルゴリズム・モジュールのテストを提供
  • FIDO (Fast Identity Online)
    FIDO標準に則り、認証器の設計レビュー、ペネトレーションテスト、攻撃の可能性の計算などのセキュリティ評価を提供。レベル2、レベル2+、レベル3、レベル3+までカバー。
  • EMVCo
    世界的に認定を受けた10社の内の1社として、電子決済に必要なハードウェア、プラットフォーム、アプリケーションの評価を実施。
  • NESAS CCS-GI
    GSMAの要件に基づく製品のライフサイクルの監査および5G関連などのネットワークコンポーネントのセキュリティ評価を提供。
  • アクセラレイテッド・セキュリティ認証 (BSZ)
    連邦セキュリティ庁 (BSI)による、欧州標準EN 17640に基づくドイツ (+フランス) におけるコモンクライテリア認証の代替認証制度。BSZ認定試験センターとして、IT製品の試験・評価サービスを提供し、認証取得をサポート。

TÜVITは世界有数のテストサービスのプロバイダーであり、評価サービスの対象は、以下の通り多岐に渡ります。
  • オペレーティングシステム
  • セキュリティコントローラ
  • データベース管理システム
  • ネットワーク機器 (ファイアウォール, VPNソリューション, ルーターなど)
  • 支払いシステム (スマートカードのコンポーネント) 、 支払いアプリ、ソフトウェアおよびハードウェアの評価
  • スマートフォンなどのモバイルシステム
  • コミュニケーションシステム
  • スマート・メーター・ゲートウェイ (ドイツの技術ガイドラインTR-03109準拠)
  • 署名アプリケーション
  • スマートカード端末
  • 5G関連のコンポーネント
  • 政府のアプリケーション (パスポート、身分証明書、eHealthなど)
  • 複合的なシステム (オペレーティングシステム+アプリケーションなど)
  • スマートカードやそのオペレーティングシステムおよびアプリケーション
  • ハードウェア・セキュリティ・モジュール (HSM)

耐量子暗号 (PQC)

近年、量子コンピュータ研究の進展に伴い、それに対応した暗号技術である耐量子暗号 (PQC) へ対応することの必要性が盛んに指摘されており、交通、IoT、金融、エネルギー、通信、医療といった広範な分野が影響を受けるとされています. 将来的にEUが法的要件を課すことも考えられるため、それらに準拠できるよう、移行に備えることの重要性が日々高まっています。

TÜViTでは、「FIPS 203」「FIPS 204」「FIPS 205」「RFC 6234」などの耐量子暗号関連の標準に対応しながら、企業が耐量子時代のセキュリティへ移行できるよう、以下のようなサービスを実施しています。

  • 研修や意識向上のためのワークショップの実施
  • セキュアな製品設計のサポート
  • 製品開発中のサポート
  • 製品の第三者評価
  • 様々なスキームにおける製品認証
  • セキュリティ・インフラをPQCへ移行するためのサポート

様々なEU規則・指令に対応したセキュリティ認証

ヨーロッパでは、欧州連合 (EU) による法規制を通じて、IT/デジタル製品に対するセキュリティ要件が広い範囲で日々強化されています. 日本の企業についても、EU向けの製品を製造している場合、その影響を直接受けることになります。

TÜViTでは、「Security Qualification」と呼ばれるセキュリティ認証プロセスを開発し、以下のようなEU法規制に対応した認証サービスを提供しています。

  • サイバーレジリエンス法 (Cyber Resilience Act, CRA)
  • 無線機指令 (Radio Equipment Directive, RED指令)
  • 改正ネットワークおよび情報システム指令 (Network and Information Security Directive, NIS2指令)

など

お問い合わせ

上記のTÜViTの第三者評価サービスや研修・トレーニングサービスについてご質問やご希望がございましたら、ぜひ、こちらのフォームからお気軽にお問い合わせください (日・英・独いずれの言語でも結構です)。オンライン・ミーティングでのご対応も可能ですので、お気軽にお申し付けください。

TÜViTの日本の現地代理店として、弊社スタッフが責任を持ってサポートさせていただきます。