コモンクライテリア

コモンクライテリア（Common Criteria, 略称りゃくしょう CC）とは、コンピュータセキュリティのための国際こくさい規格きかくであり、 ISO/IEC 15408 である。 IT 製品せいひんや情報じょうほうシステムに対たいして、情報じょうほうセキュリティを評価ひょうかし認証にんしょうするための評価ひょうか基準きじゅんを定さだめている。

正式せいしき名称めいしょうは "Common Criteria for Information Technology Security Evaluation"（情報じょうほう技術ぎじゅつセキュリティ評価ひょうかのためのコモンクライテリア）である。 ISO/IEC 15408 の規格きかく名めいは "Evaluation criteria for IT security", JIS X 5070 としての名称めいしょうは「情報じょうほう技術ぎじゅつセキュリティの評価ひょうか基準きじゅん」である。 2019年ねん3月がつ時点じてんにおいては「バージョン3.1 リリース5（2017年ねん4月がつ）」が最新さいしん版ばんである。

日本にっぽんではコモンクライテリアまたは CC と呼よばれるほか、情報じょうほう技術ぎじゅつセキュリティ評価ひょうか基準きじゅん、ITセキュリティ評価ひょうか基準きじゅん、広ひろく一般いっぱん的てきにはセキュリティ評価ひょうか基準きじゅんなどと呼よばれる。

現在げんざいでは独立どくりつ行政ぎょうせい法人ほうじん情報処理じょうほうしょり推進すいしん機構きこうが、日本にっぽんの「ITセキュリティ評価ひょうか及および認証にんしょう制度せいど（JISEC：Japan Information Technology Security Evaluation and Certification Scheme）」^[1]における認証にんしょう機関きかんを運営うんえいしている。

概要がいよう

CC は現在げんざい世界せかい20 か国こく以上いじょうで政府せいふ調達ちょうたつ基準きじゅんとされており、日本にっぽんにおいても、政府せいふにおけるIT製品せいひん・システムの調達ちょうたつに関かんして CC 評価ひょうか・認証にんしょう取得しゅとくされた製品せいひんの利用りようが推進すいしんされている。 ^[2]^[3]

また、CCRA加盟かめい国こくのうちの一いち国こくにおいて一いち度どCC評価ひょうか・認証にんしょうを受うければ、他たの国くににも通用つうようする。情報じょうほうシステムや情報じょうほう機器ききが、異ことなる国々くにぐにで何なん度どもセキュリティ認証にんしょうを取得しゅとくする必要ひつようをなくすために、欧州おうしゅうの ITSEC 標準ひょうじゅんや米国べいこく TCSEC 標準ひょうじゅんの後継こうけいとして、ISO の国際こくさい規格きかく (IS, International Standard) となることを目指めざして開発かいはつされた。

CC は他たのセキュリティ標準ひょうじゅん（米べい FIPS 140 等ひとし）とは異ことなり、満みたさなければならないセキュリティ要件ようけんのリストそのものを規定きていするのではなく、セキュリティ評価ひょうかの枠組わくぐみ（フレームワーク）を提供ていきょうしている。この枠組わくぐみの中なかで、利用りよう者しゃはセキュリティ要件ようけん（要求ようきゅう仕様しよう）を指定していでき、開発かいはつ者しゃは製品せいひんのセキュリティ属性ぞくせいについて主張しゅちょうでき、そして、評価ひょうか者しゃはそのセキュリティ主張しゅちょうを製品せいひんが本当ほんとうに満みたしているかどうかを検査けんさできるようになっている。すなわち CC は、コンピュータセキュリティ製品せいひんの要求ようきゅう仕様しようを示しめし、開発かいはつし、評価ひょうかするというプロセスが厳密げんみつな方式ほうしきで行おこなわれたという保証ほしょうを提供ていきょうするものである。

CC は以下いかの3冊さつで構成こうせいされる。

パート1: 概説がいせつと一般いっぱんモデル (Introduction and general model)
パート2: セキュリティ機能きのう要件ようけん (Security functional requirements)
パート3: セキュリティ保証ほしょう要件ようけん (Security assurance requirements)

CC によるセキュリティ評価ひょうかは、ITSEC （およびその前身ぜんしんであるドイツ BSI 標準ひょうじゅんの ITS）同様どうよう、対象たいしょうシステムのセキュリティ機能きのう性せいと、信頼しんらい性せい（品質ひんしつ保証ほしょう）の両面りょうめんから実施じっしされる。後者こうしゃにおいては、使用しようされている手法しゅほうの実効じっこう性せいや、実装じっそうの正確せいかく性せいが検証けんしょうされねばならない。必要ひつような信頼しんらい性せいの度合どあい、すなわちセキュリティ評価ひょうかの広ひろさと深ふかさは、通常つうじょう、EAL （下記かき参照さんしょう）として指定していされる。

CC に基もとづく評価ひょうかは、一般いっぱんにはとても高たかくつき、それなりに時間じかんもかかる。評価ひょうかは認定にんていを受うけた評価ひょうか機関きかんによって実施じっしされ、評価ひょうか結果けっかに対たいする認証にんしょうは、CCRA （後述こうじゅつ）加盟かめい各国かっこくの認証にんしょう機関きかん（日本にっぽんの IPA運営うんえいのJISEC 等とう）だけから受うけることができる。評価ひょうか機関きかんは、厳格げんかくに定さだめられた手続てつづきに則のっとって認定にんていされ、定期ていき的てきに更新こうしんを受うけなければならない。

主要しゅような概念がいねん

コモンクライテリアでは、以下いかのように主要しゅような概念がいねんが数多かずおおく定義ていぎされている:

プロテクションプロファイル (PP, Protection Profile): セキュリティ要件ようけん（要求ようきゅう仕様しよう）を特定とくていする文書ぶんしょ。通常つうじょう、利用りよう者しゃ（または利用りよう者しゃの団体だんたい）が、自分じぶんの要求ようきゅう仕様しようを文書ぶんしょ化かしたもの。実質じっしつ的てきに、セキュリティデバイスの分類ぶんるいを規定きていしている（例たとえば、デジタル署名しょめい用ようのスマートカード）。
セキュリティターゲット (ST, Security Target): ある特定とくていの製品せいひんのセキュリティ性能せいのうを特定とくていする文書ぶんしょであり、製品せいひんを評価ひょうか・認証にんしょうするための基礎きそになる。通常つうじょう、製品せいひんの開発かいはつ者しゃが作成さくせいする。ST は（一ひとつ以上いじょうの） PP に適合てきごうしていることを主張しゅちょうしてもよく、評価ひょうかの際さいは PP 適合てきごう主張しゅちょうが満みたされているかどうかも検査けんさされる。
評価ひょうか対象たいしょう (TOE, Target Of Evaluation): 簡単かんたんに言いえば、ST にセキュリティ主張しゅちょうが記述きじゅつされた製品せいひんのことである。
セキュリティ機能きのう要件ようけん (SFR, Security Functional Requirements): 製品せいひんが提供ていきょうする個々ここのセキュリティ機能きのうを規定きていする条文じょうぶん。セキュリティ機能きのうの標準ひょうじゅんカタログとして CC は SFR のリストを規定きていしており、利用りよう者しゃが PP を書かくときや、開発かいはつ者しゃが ST を書かくときに、必要ひつようなものを選えらんで PP や ST に記載きさいする。例れいとして、特別とくべつな役割やくわりをもつ利用りよう者しゃ（管理かんり者しゃなど）を認証にんしょうする方法ほうほうを規定きていする SFR がある。 CC は ST に含ふくまれるべき SFR を規定きていしないが、ある機能きのう（例たとえば、役割やくわりに従したがってアクセス制限せいげんする）が正常せいじょうに動作どうさするために不可欠ふかけつな他ほかの機能きのう（例たとえば、各かく個人こじんの役割やくわりを識別しきべつする）を、依存いぞん性せいとして規定きていしている。
セキュリティ保証ほしょう要件ようけん (SAR, Security Assurance Requirements): セキュリティ機能きのう性せいの主張しゅちょうに製品せいひんが準拠じゅんきょしていることを保証ほしょうするために、製品せいひん開発かいはつの間あいだにとられる施策しさくを規定きていする条文じょうぶん。例たとえば、全ぜんソースコードが変更へんこう管理かんりシステムで保持ほじされていることを要求ようきゅうする、十分じゅうぶんな機能きのうテストが行おこなわれる (perform) ことを要求ようきゅうする、など。上うえの SFR 同様どうよう、CC は SAR のカタログを規定きていし、必要ひつようなものを選えらんで PP や ST に記載きさいする。
評価ひょうか保証ほしょうレベル (EAL, Evaluation Assurance Level): 製品せいひんの開発かいはつ過程かてい全般ぜんぱんをカバーする保証ほしょう要件ようけんのパッケージであり、7段階だんかいの厳格げんかくさに対応たいおうする。 EAL1 は最もっとも基本きほん的てき（したがって実施じっしするのも評価ひょうかを受うけるのも安やすあがり）であり、EAL7 は最もっとも厳きびしい（最もっとも高価こうか）。通常つうじょう、ST や PP の著者ちょしゃは保証ほしょう要件ようけんを一ひとつ一ひとつ選えらぶことはせず、 EAL を一ひとつ選えらび、必要ひつようであればより高こうレベルの保証ほしょう要件ようけんをいくつか追加ついかする。より高たかい EAL が必かならずしも「より良よいセキュリティ」を含意がんいするとは限かぎらず、主張しゅちょうしている TOE セキュリティ保証ほしょうがより広範こうはんに検証けんしょうされたことを意味いみするに過すぎない。

今いままでのところ、PP の大だい部分ぶぶん、そして評価ひょうかされた ST/認証にんしょう製品せいひんの大だい部分ぶぶんは、IT システムの構成こうせい要素ようそ（ファイアウォール、オペレーティングシステム、スマートカードなど）のためのものであった。 CC は IT 調達ちょうたつの要件ようけんとして指定していされることがある。相互そうご運用うんよう、システム管理かんり、利用りよう者しゃ教育きょういく等とうに関かんしては、他たの標準ひょうじゅん規格きかくが CC 等とうの製品せいひん標準ひょうじゅんを補おぎなう。例たとえば ISO/IEC 27001 （旧きゅう BS 7799-2）や ISO/IEC 27002 （旧きゅう ISO/IEC 17799, BS 7799-1）またはドイツの IT-Grundschutzhandbuch である。

TOE 内ないの暗号あんごう系けいの実装じっそうに関かんする詳細しょうさいは、CC の適用てきよう領域りょういき外がいである。代かわりに米べい政府せいふ標準ひょうじゅん FIPS 140 などが暗号あんごうモジュールの仕様しようを規定きていし、使用しようする暗号あんごうアルゴリズムの仕様しようについては様々さまざまな標準ひょうじゅんがある。

セキュリティ機能きのう要件ようけん

CC の機能きのう要件ようけんは、機能きのう分野ぶんや別べつに分類ぶんるいされており、セキュリティアーキテクチャの基本きほん的てきな機能きのうを表現ひょうげんしたものとなっている。前身ぜんしんとなった TCSEC などと異ことなり、セキュリティ強度きょうど別べつの分類ぶんるいではない。主要しゅような機能きのう要件ようけんクラスは、FAU（セキュリティ監査かんさ）、FCO（通信つうしん）、FCS（暗号あんごうサポート）、FDP（利用りよう者しゃデータ保護ほご）、FIA（識別しきべつと認証にんしょう）、FMT（セキュリティ管理かんり）、FPR（プライバシー）、FPT（TOEセキュリティ機能きのうの保護ほご）、FRU（資源しげん利用りよう）、FTA（TOEアクセス）、および FTP（高信頼こうしんらいパス/チャネル）である。

ファイアウォールやICカード、無線むせんLANなど、セキュリティ製品せいひんの種類しゅるいによって、典型てんけい的てきなセキュリティ機能きのうの範囲はんいを定さだめた「プロテクションプロファイル」 (PP) が作つくられ、必要ひつような一連いちれんの機能きのう要件ようけんが記述きじゅつされる。

セキュリティ保証ほしょう要件ようけん

CC は、評価ひょうか結果けっかの信頼しんらい性せいを担保たんぽするための数すう多おおくのセキュリティ保証ほしょう要件ようけんを規定きていしている。保証ほしょう要件ようけんは PP 評価ひょうか用よう（APE クラス）、ST 評価ひょうか用よう（ASE クラス）、TOE 評価ひょうか用よう（それ以外いがいの大だい部分ぶぶん）、および追加ついかの枠組わくぐみ用ようの四よっつに大別たいべつされる。

3.0, 3.1 版はんの TOE 保証ほしょう要件ようけんはADV (開発かいはつ)、AGD (ガイダンス文書ぶんしょ)、ALC (ライフサイクルサポート)、ATE (テスト) および AVA (脆弱ぜいじゃく性せい評定ひょうじょう) の 5 クラスに大だい分類ぶんるいされ、中ちゅう分類ぶんるいでは 20 ファミリーとなる。 2.x 版ばんでは分類ぶんるい方法ほうほうが一部いちぶ異ことなり、ACM (構成こうせい管理かんり) および、ADO (配付はいふと運用うんよう) を加くわえた 7 クラス 26 ファミリーである。

EAL

必要ひつようなセキュリティ保証ほしょう要件ようけんを個別こべつに指定していするのは煩雑はんざつであるばかりでなく、その正当せいとう性せいを検証けんしょうするのも大変たいへんである。そこで、標準ひょうじゅん的てきなセキュリティ保証ほしょう要件ようけんの組くみがいくつか定義ていぎされており、保証ほしょうパッケージと呼よばれる。中なかでも最もっとも重要じゅうようなのが7段階だんかいの EAL（Evaluation Assurance Level, 評価ひょうか保証ほしょうレベル）であり、CC において定義ていぎされている。

CC EAL	ITSEC E	意味いみ	TCSEC
EAL1	E0-E1	機能きのうテスト	D-C1
EAL2	E1	構造こうぞう化かテスト	C1
EAL3	E2	方式ほうしき的てきテスト、及およびチェック	C2
EAL4	E3	方式ほうしき的てき設計せっけい、テスト、及およびレビュー	B1
EAL5	E4	準じゅん形式けいしき的てき設計せっけい、及およびテスト	B2
EAL6	E5	準じゅん形式けいしき的てき検証けんしょう済ずみ設計せっけい、及およびテスト	B3
EAL7	E6	形式けいしき的てき検証けんしょう済ずみ設計せっけい、及およびテスト	A

統合とうごう TOE

追加ついかの枠組わくぐみを実現じつげんする保証ほしょう要件ようけんクラスとしては、3.0, 3.1 版はんには ACO (統合とうごう) クラスがある。これは統合とうごう TOE (Composed TOE) すなわち TOE 評価ひょうかが評価ひょうか・認証にんしょう済ずみ他社たしゃ製品せいひんに依存いぞんする場合ばあいの評価ひょうかの枠組わくぐみのために導入どうにゅうされた。

保証ほしょう継続けいぞく

評価ひょうか・認証にんしょう済ずみ製品せいひんをバージョンアップする際さい、軽微けいびな変更へんこうなら必かならずしも再さい評価ひょうか（差分さぶん評価ひょうか）せずに、同等どうとうの保証ほしょうが維持いじされていることを判定はんていできれば効率こうりつがよい。

そのための枠組わくぐみを意図いとした保証ほしょう要件ようけんとして、CC 2.1 版はんには、AMA (保証ほしょう維持いじ) クラスがあった。ところが、効果こうか的てきな保証ほしょう維持いじ計画けいかくを、初版しょはんの認証にんしょう取得しゅとく前まえに TOE 開発かいはつ者しゃが策定さくていするのは現実げんじつ的てきでなく、評価ひょうか方法ほうほうも確立かくりつされていなかったので 2.2 版はんで廃止はいしされた。

代かわりに、保証ほしょう継続けいぞくガイドライン (ACG) と呼よばれる手続てつづき方法ほうほう（保証ほしょう要件ようけんではない）が CC および CEM とは別枠べつわくで導入どうにゅうされ、相互そうご承認しょうにんを含ふくめて実際じっさいに運用うんようされている。

共通きょうつう評価ひょうか方法ほうほう (CEM)

共通きょうつう評価ひょうか基準きじゅんであるコモンクライテリアに加くわえ、スポンサー組織そしきおよび委員いいん会かいによって、評価ひょうか結果けっかが理解りかい可能かのうかつ比較ひかく可能かのうにするための評価ひょうか方法ほうほうが開発かいはつされた。正式せいしき名称めいしょうは Common Methodology for Information Technology Security Evaluation（情報じょうほうセキュリティ評価ひょうかのための共通きょうつう方法ほうほう）だが、共通きょうつう評価ひょうか方法ほうほう (Common Evaluation Methodology) の頭文字かしらもじを採とって CEM と呼よばれる。これは、評価ひょうか機関きかんが CC 評価ひょうかを行おこなうための最低限さいていげんのアクションを記述きじゅつしている。

CEM 2.3 版はんが ISO/IEC 18045 となっている。 2.3 版はんまでの CEM は EAL1 から EAL4 までの評価ひょうかに対応たいおうしている。 3.0 および 3.1 版はんでは ADV, ATE, AVA の各かくクラスは EAL5 まで、他たのクラスは全ぜんコンポーネントの評価ひょうかに対応たいおうしている。

歴史れきし

起源きげん

CC は三みっつないし四よっつの標準ひょうじゅんを起源きげんとする。第だい1は米べい国防総省こくぼうそうしょうの TCSEC (Trusted Computer System Evaluation Criteria), 通称つうしょう「オレンジブック」である。 1983年ねんに制定せいていされ、1986年ねんから NSA が国防こくぼう関係かんけいのシステムを中心ちゅうしんに評価ひょうか・認証にんしょうを行おこなっている。

第だい2はヨーロッパの ITSEC (Information Technology Security Evaluation Criteria) である。国内こくないにセキュリティ評価ひょうか・認証にんしょう制度せいどをもつフランス、ドイツおよびイギリスに、オランダを加くわえた4か国こくが開発かいはつし、1991年ねんに欧州おうしゅう委員いいん会かいから刊行かんこうされ、他た地域ちいき（オーストラリアなど）でも採用さいようされた。 TCSEC の概念がいねんを基もとにしながら、より柔軟じゅうなんな枠組わくぐみをもち、民生みんせい品ひんから政府せいふ専用せんよう製品せいひんまで幅広はばひろく評価ひょうか・認証にんしょうが行おこなわれた。国家こっか間あいだでの相互そうご承認しょうにん、機能きのう主張しゅちょうと保証ほしょう要件ようけんの分離ぶんり、そして評価ひょうか基準きじゅん ITSEC に加くわえ評価ひょうか方法ほうほうマニュアル ITSEM の標準ひょうじゅん化かなど、いくつかの点てんで CC の枠組わくぐみの基礎きそとなっている。

第だい3はカナダの CTCPEC (Canadian Trusted Computer Product Evaluation Criteria) であり、上記じょうき両りょう標準ひょうじゅんを参考さんこうに、各々おのおののアプローチを組くみ合あわせ、1993年ねんに公表こうひょうされた。

第だい4を挙あげるならば、1993年ねんに米国べいこくで起草きそうされた FC (Federal Criteria for Information Technology Security) だが、この取組とりくみは早々そうそうに CC へと方向ほうこう転換てんかんされた。 FC は、元々もともと軍需ぐんじゅ用ようの TCSEC を、民需みんじゅにも使つかいやすいよう ITSEC の内容ないようも取とり入いれた改訂かいてい版ばんとして構想こうそうされた。政府せいふの高度こうど機密きみつ向むけセキュリティを担当たんとうし TCSEC を運用うんようする NSA と、それ以外いがい（政府せいふの一般いっぱん用ようと民間みんかん用よう）のセキュリティを担当たんとうする NIST が共ともに 1992年ねんから FC 開発かいはつに取とり組くみ、共ともに CC 開発かいはつに参画さんかくした。

統一とういつ

CC は、これら既存きそんの標準ひょうじゅん規格きかくを統一とういつすることによって誕生たんじょうした。これにより、防衛ぼうえい機関きかんや情報じょうほう機関きかん向むけにコンピュータ製品せいひんを販売はんばいする会社かいしゃは、製品せいひんセキュリティ標準ひょうじゅんの適合てきごう性せい評価ひょうかを、一ひとつの標準ひょうじゅんについてだけ評価ひょうかを受うければ済すむようになった。この統一とういつと国際こくさい規格きかく化かへの道みちのりには、実じつに 9年ねんの歳月さいげつを要ようしている。

ISO は1990年ねんに、各国かっこくがセキュリティ評価ひょうか結果けっかを相互そうご承認しょうにんでき、国際こくさい IT 市場いちばに通用つうようするような、汎用はんようかつ国際こくさい標準ひょうじゅんのセキュリティ評価ひょうか基準きじゅんの開発かいはつを決定けっていした。この作業さぎょうを同年どうねん ISO/IEC JTC 1/SC 27/WG 3 が開始かいししたが、作業さぎょう量りょうが膨大ぼうだいであることに加くわえ、国際こくさい間あいだの調整ちょうせいに難航なんこうし、遅々ちちとして捗はかどらなかった。

1993年ねん6月がつに、上記じょうき TCSEC, ITSEC, CTCPEC および FC の開発かいはつに当あたった6か国こく7組織そしきは、共通きょうつうの評価ひょうか基準きじゅんを共同きょうどう開発かいはつし ISO 規格きかく化かすることを合意ごういした。この活動かつどうは CC プロジェクトと名付なづけられ、各々おのおのの評価ひょうか基準きじゅんを統一とういつし、成果せいかを ISO に提供ていきょうすることを目的もくてきとした。

CC プロジェクトは各かく組織そしきの代表だいひょう者しゃからなる編集へんしゅう委員いいん会かい (CC Editorial Board, CCEB) を結成けっせいして作業さぎょうを開始かいしし、上記じょうき WG3 に対たいし規格きかく案あんを提案ていあんした。 WG3 側がわでは反発はんぱつもあったが、運用うんよう実績じっせきのある既存きそんの各かく標準ひょうじゅんとは別べつの標準ひょうじゅんを作つくることの不安ふあんもあり、結局けっきょく WG3 側がわのエディターを CCEB に参画さんかくさせることを条件じょうけんに CC 採用さいようを決きめた。これによって CCEB と WG3 の連携れんけいが確立かくりつし、CCEB から WG3 に原案げんあんを提供ていきょうし始はじめた。両者りょうしゃの調整ちょうせいを経へて1996年ねん1月がつに CC 1.0 版はんが完成かんせいし、4月がつには ISO が CD （委員いいん会かい原案げんあん）として採用さいよう、配布はいふを承認しょうにんするに至いたった。

国際こくさい規格きかく化か

CC プロジェクトは 1.0 版はんでトライアルユース（試行しこう評価ひょうか）を何なん度ども行おこない、評価ひょうか基準きじゅん文書ぶんしょのパブリックレビュー（公開こうかい審査しんさ）を広範囲こうはんいに実施じっしした。試行しこう評価ひょうか、公開こうかい審査しんさ、および ISO からのフィードバックを基もとに CC の大だい規模きぼな改訂かいていが行おこなわれた。改訂かいてい作業さぎょうと並行へいこうして共通きょうつう評価ひょうか手法しゅほう (CEM) の開発かいはつ、およびセキュリティ評価ひょうか認証にんしょう結果けっかを各国かっこくで相互そうご承認しょうにんする枠組わくぐみの検討けんとうも進すすめられた。

1997年ねん10月に CC 2.0 “ベータ”版ばんが WG3 に提出ていしゅつされ、第だい2版はん CD として承認しょうにんされた。 CC プロジェクトは WG3 のコメントと ISO 加盟かめい各国かっこくの CD 投票とうひょうコメントに基もとづき CC 2.0 版はんを仕上しあげ、1998年ねん5月に FCD（最終さいしゅう草案そうあん）となった。 FCD 投票とうひょうによって FDIS（最終さいしゅう規格きかく案あん）化かが決定けっていした1998年ねん10月がつ、カナダ、フランス、ドイツ、イギリスおよび米国べいこくが相互そうご承認しょうにん協定きょうてい (MRA) に署名しょめいした。

FCD 投票とうひょうコメントに基もとづき微ほろ修正しゅうせいされた FDIS が国際こくさい投票とうひょうを経へて 1999年ねん6月がつに IS （国際こくさい規格きかく）として承認しょうにんされ ISO/IEC 15408:1999 となった。 CC プロジェクトはその微ほろ修正しゅうせいを取とり入いれ、使つかいやすく体裁ていさいを整ととのえた評価ひょうか基準きじゅん文書ぶんしょ (CC) を発行はっこうし、併あわせて共通きょうつう評価ひょうか方法ほうほう (CEM) 初版しょはんを発行はっこうした。この CC 文書ぶんしょが、IS と実質じっしつ的てきに同どう一いち内容ないよう、同どう一いち効力こうりょくをもつ 1999年ねん8月がつの CC 2.1 版はんである。

2.1 版はんへの指摘してきや問合といあわせで明あきらかになった問題もんだい点てんは CC プロジェクト内ないに設もうけられた委員いいん会かい (CCIMB) で検討けんとうされ、CC または CEM の修正しゅうせいを要ようする各々おのおのの指摘してきに対たいしては、問題もんだいの箇所かしょと読よみ換かえ方かたを記しるした「解釈かいしゃく」 (Interpretation) と呼よぶ補足ほそく書面しょめんが発行はっこうされた。 2004年ねん1月がつに新しん規格きかく案あんとして、発行はっこう済ずみ解釈かいしゃくを反映はんえいした CC と CEM の 2.2 版はんが発行はっこうされた。 2005年ねん8月がつにはその後ごの解釈かいしゃくを反映はんえいした新あらたな IS として CC 2.3 版はん (ISO/IEC 15408:2005) および CEM 2.3 版はん (ISO/IEC 18045:2005) が発行はっこうされた。

CC バージョン 3 に至いたるまで

IS 化かを成なし遂とげた CC バージョン 2.x 系けい（第だい2版はん系けい）はよく練ねられたセキュリティ評価ひょうか基準きじゅんだったが、解釈かいしゃく発行はっこうによる微ほろ修正しゅうせいでは済すまないような根深ねぶかい問題もんだいがいくつか指摘してきされた。用語ようごや概念がいねんの定義ていぎに齟齬そごや循環じゅんかんがある、評価ひょうか作業さぎょうに無駄むだな重複じゅうふくがある、抽象ちゅうしょう度どの大おおきく異ことなる機能きのう要件ようけんが混在こんざいしている、保証ほしょう要件ようけんとして内容ないようを評価ひょうかすべきセキュリティ側面そくめんが機能きのう要件ようけんとして形式けいしきしか評価ひょうかされない、などである。そのため、再ふたたび大だい規模きぼな改訂かいていの機運きうんが高たかまり、バージョン 2 のメンテナンス（2.3 版はんの IS 化か）と並行へいこうしてバージョン 3 の開発かいはつが行おこなわれた。

バージョン 3（第だい3版はん）で計画けいかくされた変更へんこう点てんのうち、まず PP と ST の改革かいかくを先行せんこうして試行しこう評価ひょうかすることとなり、CC と CEM の 2.2 版はんに対たいして PP と ST の仕様しよう・保証ほしょう要件ようけん・評価ひょうか方法ほうほうの抜本ばっぽん改訂かいていと、それらとの整合せいごうに必要ひつよう最小限さいしょうげんの変更へんこう（機能きのう仕様しようや機能きのう強度きょうどなど）だけを施ほどこした 2.4 版はんが 2004年ねん3月がつに発行はっこうされた。 2.4 版はんは 2.3 版はんより早はやく発行はっこうされ、パート 2 がない（2.2 版はんをそのまま使つかう）風変ふうがわりなテスト版ばんであった。

CC と CEM の 3.0 版はんが 2005年ねん6月がつに発行はっこうされ、公開こうかい審査しんさと試行しこう評価ひょうかが行おこなわれた。その中なかで明あきらかになった問題もんだい点てんを修正しゅうせいした 3.1 版はんが 2006年ねん9月に発行はっこうされた。

3.0 版はんではセキュリティ機能きのう要件ようけんも保証ほしょう要件ようけんも大幅おおはばに再編さいへんされた。ところが、特とくに機能きのう要件ようけんは既存きそんの PP の移植いしょくが困難こんなんな程ほどの抜本ばっぽん改訂かいていであったので、問題もんだいとなった。そのため 3.1 版はんの機能きのう要件ようけんは 2.3 版はんに近ちかいものに戻もどされた。

CCRA: コモンクライテリア承認しょうにんアレンジメント

コモンクライテリア承認しょうにんアレンジメント (CCRA, Common Criteria Recognition Arrangement) は条約じょうやくに準じゅんずる国際こくさい協定きょうていである。^[4] CCRA の各かく加盟かめい国こくは、他たの加盟かめい国こくでなされた CC 規格きかく評価ひょうかを相互そうごに承認しょうにんすることになっている。最初さいしょは1998年ねんに MRA（Mutual Recognition Arrangement, 相互そうご承認しょうにんアレンジメント）という名なで、カナダ、フランス、ドイツ、英国えいこくおよび米国べいこくが署名しょめいし、オーストラリアおよびニュージーランドが1999年ねんに、さらにフィンランド、ギリシア、イスラエル、イタリア、オランダ、ノルウェーおよびスペインが2000年ねんに参加さんかした。2003年ねんからは日本にっぽんも参加さんか。その後ご MRA は CCRA に改名かいめいされ、加盟かめい国こくは増ふえ続つづけている。

現在げんざいのところ、最高さいこう EAL4 （障害しょうがい修正しゅうせい ALC_FLR の追加ついかを含ふくむ）までの範囲はんいで、 CCRA 内ないの国際こくさい的てきな相互そうご認証にんしょうが行おこなわれている。より高たかい EAL については、非常ひじょうに込こみ入いっているので、国境こっきょうを越こえて承認しょうにんする義務ぎむはなく、一部いちぶの国くににおいて国内こくない限定げんていで評価ひょうか・認証にんしょうが行おこなわれている。

参考さんこう文献ぶんけん

田渕たぶち治樹はるき (1999年ねん). 国際こくさいセキュリティ標準ひょうじゅん ISO 15408のすべて. 日経にっけいBP社しゃ. ISBN 4-8222-2254-3
内山うちやま政人まさと (2000年ねん). ISO15408情報じょうほうセキュリティ入門にゅうもん. 東京電機大学とうきょうでんきだいがく出版しゅっぱん局きょく. ISBN 4-501-53150-9
田渕たぶち治樹はるき (2001年ねん). 国際こくさいセキュリティ標準ひょうじゅんISO/IEC15408入門にゅうもん. オおーム社むしゃ. ISBN 4-274-94643-6
宇賀うが村むら直紀なおき (2006年ねん). ISO15408セキュリティ実践じっせん解説かいせつ : 政府せいふ調達ちょうたつの統一とういつ基準きじゅん. ソフトリサーチセンター. ISBN 4-88373-236-3

脚注きゃくちゅう

[脚注きゃくちゅうの使つかい方かた]

^ ITセキュリティ評価ひょうか及および認証にんしょう制度せいど（JISEC） - IPA 独立どくりつ行政ぎょうせい法人ほうじん情報処理じょうほうしょり推進すいしん機構きこう
^ 政府せいふ機関きかんの情報じょうほうセキュリティ対策たいさくのための統一とういつ管理かんり基準きじゅん(1.5.1.1 情報じょうほうシステムのセキュリティ要件ようけん及および1.5.2.2 機器きき等とうの購入こうにゅう) - 2011年ねん4月がつ内閣ないかく官房かんぼう情報じょうほうセキュリティセンター
^ IT セキュリティ評価ひょうか及および認証にんしょう制度せいど等とうに基もとづく認証にんしょう取得しゅとく製品せいひん分野ぶんやリスト - 2011年ねん4月がつ経済けいざい産業さんぎょう省しょう
^ 国際こくさい承認しょうにんアレンジメント（CCRA） - IPA 独立どくりつ行政ぎょうせい法人ほうじん情報処理じょうほうしょり推進すいしん機構きこう

表ひょう話はなし編へん歴れき ISO標準ひょうじゅん
国際こくさい標準ひょうじゅん一覧いちらん · ロろーマ字まじ表記ひょうき国際こくさい規格きかく一覧いちらん · 国際電気こくさいでんき標準ひょうじゅん会議かいぎが定さだめる国際こくさい標準ひょうじゅん一覧いちらん
1から 10000まで	1 2 3 4 5 6 7 9 16 31 -0 -1 -2 -3 -4 -5 -6 -7 -8 -9 -10 -11 -12 -13 128 216 217 226 228 233 259 269 302 306 428 518 519 639 -1 -2 -3 -5 -6 646 668 690 732 764 843 898 965 1000 1004 1007 1073-1 1413 1538 1745 1989 2014 2015 2022 2047 2108 2145 2146 2240 2281 2382 2709 2711 2788 2852 3029 3103 3166 -1 -2 -3 3297 3307 3602 3864 3901 3977 4031 4157 4217 4909 5218 5428 5775 5776 5800 5964 6166 6344 6346 6385 6425 6429 6438 6523 6709 6937 7001 7002 7010 7098 7185 7200 7498 7736 7810 7811 7812 7813 7816 7942 8000 8178 8217 8571 8473 8583 8601 8613 8632 8652 8691 8807 8820-5 8859 -1 -2 -3 -4 -5 -6 -7 -8 -8-I -9 -10 -11 -12 -13 -14 -15 -16 8879 9000/9001 9075 -10 9126 9293 9241 -210 9362 9407 9506 9529 9564 9592 9594 9660 9897 9899 9945 9984 9985 9995
10001から 20000まで	10006 10021 10116 10118-3 10160 10161 10165 10179 10206 10218 10303 -11 -21 -22 -28 -238 10383 10487 10585 10589 10646 10664 10746 10861 10957 10962 10967 11073 11170 11179 11404 11519 11544 11783 11784 11785 11801 11898 11940 -2 11941 11941 (TR) 11992 12006 12100 12182 12207 12234 -2 -3 13211 -1 -2 13216-1 13250 13399 13406-2 13407 13450 13482 13485 13490 13522-5 13567 13568 13584 13616 14000 14031 14224 14229 14230 14289 14396 14443 14492 14496 -2 -3 -6 -10 -11 -12 -14 -17 -20 14644 -1 -2 -3 -4 -5 -6 -7 -8 -9 14649 14651 14698 -2 14750 14764 14882 14971 15022 15189 15288 15291 15292 15398 15408 15444 -3 15445 15438 15504 15511 15686 15693 15706 -2 15707 15765 -2 15836 15897 15919 15924 15926 15926 WIP 15930 15948 16023 16262 16612-2 16750 16949 17024 17025 17203 17369 17799 18000 18004 18014 18033 18092 18181 18245 18629 18916 19005 19011 19092 -1 -2 19100 19114 19115 19125 19136 19439 19500 19501 19502 19503 19505 19506 19507 19508 19509 19510 19600 19752 19757 -2 -3 -4 19770 19775 19784 19794-5 19831 20000
20001以上いじょう	20022 20121 21000 21047 21500 21827:2002 22000 22196 22250-1 22307 22324 23270 23271 23360 24517 24613 24617 24707 25178 25964 26000 26262 26300 26324 27000シリーズ 27000 27001:2005 27001:2013 27002 27003 27004 27005 27006 27007 27729 27799 28000 29110 29148 29199-2 29500 30170 31000 32000 37001 38500 40500 42010 45001 80000 -1 -2 -3 -4 -5 -6 -7 -8 -9 -10 -11 -12 -13 -14
組織そしき	国際こくさい標準ひょうじゅん化か機構きこう
カテゴリ	ISO標準ひょうじゅん ISO 31 ISO 639 ISO 3166 ISO 8859 ISO/IEC 80000 ISO/IEC標準ひょうじゅん
関連かんれん項目こうもく: ISOで始はじまる記事きじ一覧いちらん