電気通信機器の試験認証義務(MTCTE)規制では、インドで電気通信機器の販売、輸入、使用を希望する相手先商標製品製造業者(OEM)や輸入業者は、電気通信技術センター(TEC)の規格に準拠していなければなりません。認証に必要な試験は、機器が関連する国内および国際規格に適合していることを確認することを目的としています。これには、安全性の確認、無線周波数エミッションが規定の範囲内であることの確認、ネットワーク性能を低下させないことの確認、国家セキュリティ要件への準拠の確認などが含まれます。
試験と認証の枠組みは、インドに参入する全ての電気通信機器が以下の必須要件を満たすことを要求しています。:
(a) EMI/EMC
(b) 安全性
(c) 技術要件
(d) その他の要求事項
(e) サイバーセキュリティ要件
NCCSの役割
NCCSは、すべての電気通信機器のセキュリティ認証のためにMTCTEによって義務付けられている「通信セキュリティ認証スキーム」(ComSeC)スキームの下でセキュリティ要件を設定する責任を負っています。これは3つの主要な活動から構成されています。:
- すべての電気通信機器について、インド電気通信セキュリティ保証要件(ITSAR)と呼ばれる国別セキュリティ保証基準を策定。
- 指定された要件を満たす第三者の電気通信セキュリティ試験所(TSTL)を指定。指定されたTSTLは、ITSARの要件に従って電気通信機器のセキュリティ試験を実施する責任を負います。
- NCCSによるITSARに対する電気通信機器の評価と認証。
電気通信省(DoT)は、ComSecスキームの開発、運営、維持において、以下の目標を達成することを目指しています:
- 国別の基準、プロセス、仕様を策定。
- テストと認証のエコシステムを開発。
- 電気通信ネットワーク要素がセキュリティ保証要件を満たすことを確保。
- セキュリティ・テストに関する規制要件の遵守を確保。
インド電気通信セキュリティ保証要件(ITSARs)
インド電気通信セキュリティ保証要件(ITSAR)は、NCCSによって制定されたセキュリティガイドラインと基準のセットです。ITSARはインドにおける電気通信ネットワークのセキュリティと安全性と統合性を保証するもので、インドの全ての電気通信サービス・プロバイダーに適用されます。ITSARがカバーする分野には、ネットワーク・セキュリティ、データ・プライバシー、合法的傍受が含まれます。
ITSARの導入が必須となったのにはいくつかの理由があります。
第一に、インドの通信ネットワークのセキュリティと回復力を確保し、サイバー攻撃、データ侵害、その他のセキュリティ上の脅威から守る上で重要な役割を果たしています。これは、銀行、医療、交通などの重要なサービスにおいて、通信ネットワークへの依存度が高まっているため、最も重要な点であるということができます。
ITSARはTSDSI 3GPPに準拠しており、以下の技術要件を幅広くカバーしています。:
- アクセスと認可
- 認証属性管理
- ソフトウェア・セキュリティ
- システムの安全な実行環境
- ユーザー監査
- データ保護
- ネットワーク・サービス
- 攻撃防止メカニズム
- 脆弱性テストの要件
- オペレーティング・システム
- ウェブ・サーバー
- その他のセキュリティ要件
ITSARはまた、電気通信サービス・プロバイダーが厳格なセキュリティ基準とガイドラインを遵守することを保証することにより、インドの電気通信セクターに対する信頼と信用を促進することにも役立っています。これはひいては、同部門への投資誘致や技術革新の促進にもつながります。
最後に、ITSARはインド政府にとって、テロやその他の犯罪行為と対峙するための重要な手段です。ITSARの下で確立されたガイドラインと基準は、市民のプライバシーと権利が保護されることを保証しつつ、必要な場合に通信を監視・傍受する手段を政府に提供します。
NCCSは、様々な機器のITSARの開発とリリースを段階的に行う役割を負っています。ある機器のITSARがリリースされると、そのITSARは施行のためのスキームに含まれます。その機器のITSARは、別途通知された日付から発効します。新たな脅威や要件に対応するために改正が行われた場合は、ITSARの新バージョンが作成され、新バージョンに示された適用日から適用されます。
ITSARは、各国固有のセキュリティ要件、国際規格、およびOEM、TSTL、TSP、学術機関、産業界、政府機関などさまざまなステークホルダーとの協議に基づいて作成されています。
ITSARに対するセキュリティ試験は、指定されたTSTLが実施します。機器の認証を受けようとする申請者は、MTCTEに登録します。申請書の審査に合格した後、申請者は該当するITSARに対する機器のセキュリティ試験を行う指定TSTLを選択することができます。TSTLはバリデーターの監督下で必要な試験を実施します。試験終了後、TSTLは試験報告書を提出します。これらの報告書はセキュリティ認証のために評価されます。評価に合格すると、NCCSからセキュリティ証明書が発行されます。
セキュリティ認証の手順
セキュリティ認証プロセスは、大きく分けて2つの部分から構成されます。;
1. 適用されるITSARに対するテスト
2. 要件への適合を確認するための試験結果の評価
機器が適用されるすべてのITSARに準拠していることが確認された場合、その旨が認証されます。
この制度に基づく認証を求める申請者は、MTCTEポータルからオンラインで申請することができます。申請者は以下のような関連書類を提出することができます。:
(i) 会社登記
(ii) 会社が発行した、申請者に関連する責任を委任する文書。
さらに、外国OEMの場合、インド企業の申請者は以下を裏付ける書類を提出しなければなりません。
(iii) 外国OEMとインド代理店(AIR)との間で締結された、インドにおける製品の販売およびサポートに関する覚書
(iv)MTCTE関連の責任をAIRに委任すること
申請者の書類は精査され、矛盾が見つかった場合は通知されます。必要な修正が行われた後、申請者の登録が承認されます。
申請者は、バリエーション、使用可能なインターフェイス、関連するモデル情報を含め、認証を受ける製品を選択する必要があります。また、オンライン・ポータルに部品表(BoM)ファイルをアップロードする必要があります。セキュリティ認証の場合、BoMには、オペレーティング・システム、データベース、暗号モジュール、および機器に使用されている専有ソフトウェアまたはサードパーティ・ソフトウェアのソフトウェア・バージョンを含める必要があります。申請書を提出すると、該当するITSARと関連料金が申請者に通知されます。
該当する料金が支払われた後、申請者は、指定されたTSTLの1つにより、関連するITSARに対する機器の試験を受けなければなりません。TSTLは16週間以内に試験を完了する責任を負い、試験中に発見された不適合事項に対処するために申請者が必要とする追加時間も含まれます。NCCSは、TSTLで実施される試験の技術的側面を監督するバリデーターを任命することができます。
試験終了後、TSTLは試験報告書に試験機器の署名を添えてアップロードします。包括的な試験報告書のハードコピーもNCCSユニットに提供されます。試験報告書はNCCSにより評価され、関連するITSARへの適合が判断されます。
該当するITSARに適合していることが確認された場合、特定の機器モデルについて申請者に認証書が発行されます。
証明書は、機器の複雑さにもよりますが、完全な試験結果の提出から通常4~8週間以内に発行されます。
注:ITSARが改正され、新バージョンのITSARがリリースされた場合、新バージョンのITSARに記載されている予定日から適用されます。それまでは既存のITSARが適用されます。