注目ちゅうもくのキーワード
情報じょうほうセキュリティ
試験しけん情報じょうほう
デジタル人材じんざいの育成いくせい
社会しゃかい・産業さんぎょうのデジタル変革へんかく
IPAについて
最終さいしゅう更新こうしん日び:2008年ねん10月がつ10日とおか
本ほん制度せいどの基本きほんとなるセキュリティ評価ひょうか基準きじゅんであるCC (ISO/IEC 15408) について、簡単かんたんに説明せつめいします。
CC (Common Criteria) とは、情報じょうほう技術ぎじゅつセキュリティの観点かんてんから、情報じょうほう技術ぎじゅつに関連かんれんした製品せいひん及およびシステムが適切てきせつに設計せっけいされ、その設計せっけいが正ただしく実装じっそうされていることを評価ひょうかするための国際こくさい標準ひょうじゅん規格きかくです。 欧米おうべい諸国しょこくでは1980年代ねんだいから自国じこくのセキュリティ評価ひょうか基準きじゅんと評価ひょうか制度せいどを持もち、軍需ぐんじゅや政府せいふ調達ちょうたつを主体しゅたいに活用かつようされてきました。90年代ねんだいになり、これらのセキュリティ評価ひょうかで先行せんこうしていた国々くにぐににより商用しょうよう製品せいひんの活用かつようや国際こくさい的てきな市場いちばからの調達ちょうたつなどを目的もくてきとした国際こくさい的てきなセキュリティの共通きょうつう評価ひょうか基準きじゅんを作成さくせいするプロジェクトが発足ほっそくしたことがCC開発かいはつの始はじまりです。1999年ねん、CCはISO標準ひょうじゅん (ISO/IEC 15408) となり、2000年ねんにはJIS標準ひょうじゅん (JIS X 5070) として制定せいていされています。 ITセキュリティ基準きじゅんのための評価ひょうか基準きじゅんを示しめす名称めいしょうとしては、CC (Common Criteria)あるいはISO/IEC 15408のどちらも同おなじものを意味いみします。ただし、規格きかくとして発行はっこうされる場合ばあい、CCとISO/IEC 15408の発行はっこうのタイミング及およびバージョンは必かならずしも一致いっちしません。
CCは、情報じょうほう技術ぎじゅつを用もちいた製品せいひんやシステムのセキュリティ機能きのうを対象たいしょうとしています。ソフトウェアだけでなく、ハードウェア、ファームウェア、あるいは、システム全体ぜんたいも評価ひょうか対象たいしょうとなります。また、製品せいひんの形態けいたいとしては、ファイアウォールのように、直接ちょくせつセキュリティに関係かんけいする機能きのうを提供ていきょうする製品せいひんに限かぎらず、オペレーティングシステム、データベース、あるいはグループウェアなど、保護ほごすべき資源しげんを保有ほゆうする製品せいひんはすべて評価ひょうか対象たいしょうとなります。 (実際じっさいの評価ひょうか対象たいしょうの評価ひょうかの可否かひについては、各かく評価ひょうか機関きかんにお尋たずねください。) CCでは、セキュリティ機能きのうの技術ぎじゅつ的てきな対策たいさくや実装じっそう、開発かいはつにおけるプロセスなどを扱あつかい、評価ひょうかの対象たいしょうとします。例たとえば、対抗たいこうする脅威きょういに必要ひつような機能きのうが設計せっけい書しょに反映はんえいされていること、その機能きのうが設計せっけいどおり実装じっそうされていること、開発かいはつ現場げんばや配付はいふ過程かていにおいてセキュリティが侵害しんがいされる可能かのう性せいがないこと、ガイダンス等とうにセキュリティを保たもつための必要ひつよう事項じこうが明確めいかくに示しめされていることなどを評価ひょうかします。最終さいしゅう的てきには、それらの証拠しょうこや公知こうちの情報じょうほうから懸念けねんされる脆弱ぜいじゃく性せいについて評定ひょうじょう及およびテストが実施じっしされます。 また、どの深ふかさまで評価ひょうかするかという保証ほしょうレベルという概念がいねんがあります。例たとえば、機能きのう仕様しよう、インタフェース仕様しよう及および製品せいひんガイダンスのみを入力にゅうりょくとした分析ぶんせきより、評価ひょうかの対象たいしょうに内部ないぶ設計せっけい資料しりょうを加くわえることでより高たかい保証ほしょうが得えられるでしょう。必要ひつような実装じっそうコードを確認かくにんすればさらに高たかい保証ほしょうが得えられますが、一方いっぽうで評価ひょうかのための費用ひようや時間じかんなどのコストも大おおきくなります。このように、評価ひょうかされる製品せいひんが置おかれる使用しよう環境かんきょうや守まもるべき資産しさんの価値かちなどにより、適切てきせつな保証ほしょうレベルを選択せんたくすることで、得えられる保証ほしょうのレベルとコストのバランスを考慮こうりょすることができます。 CCは、評価ひょうか対象たいしょうの製品せいひんに係かかるいろいろな側面そくめんを評価ひょうかしますが、製品せいひんやシステムを利用りようする組織そしきにおける要員よういんのセキュリティ教育きょういくやセキュリティ監査かんさの実施じっしといった組織そしき上じょうの運用うんようや管理かんりについては、使用しよう上じょうの前提ぜんてい条件じょうけんとして扱あつかわれ、評価ひょうかの対象たいしょうとはなりません。
CCによって、情報じょうほう技術ぎじゅつ製品せいひんのセキュリティの度合どあいを、仕様しよう書しょやガイダンス、開発かいはつプロセスなど様々さまざまな視点してんから系統けいとう的てきに評価ひょうかできるようになります。消費しょうひ者しゃ(調達ちょうたつ者しゃ)は、導入どうにゅうを検討けんとうしている製品せいひんを共通きょうつうの基準きじゅんで比較ひかくすることができ、必要ひつようなセキュリティレベルに応おうじて必要ひつような機能きのうを具備ぐびし、運用うんようや管理かんりまで考慮こうりょした製品せいひんやシステムを、適正てきせいなコストで導入どうにゅうすることが可能かのうとなります。 また、開発かいはつ者しゃはCCを考慮こうりょしたセキュリティ対策たいさくやセキュリティ機能きのうの設計せっけいをすることにより、考慮こうりょもれのない安全あんぜんな製品せいひんやシステムを開発かいはつすることが可能かのうとなります。 CCは、情報じょうほう技術ぎじゅつセキュリティに関連かんれんした製品せいひんやシステムの開発かいはつ者しゃだけでなく、製品せいひんを導入どうにゅう・利用りようする消費しょうひ者しゃ、製品せいひんやシステムの評価ひょうか者しゃなどに、ぜひ知しっておいて頂いただきたい規格きかくであると言いえます。
CCに基もとづいた評価ひょうかが、異ことなる制度せいどや評価ひょうか機関きかんでなされても、その評価ひょうか結果けっかが均質きんしつである必要ひつようがあります。そのため、評価ひょうかに使用しようされる手法しゅほう(どのような対象たいしょうを評価ひょうかし、どのような判断はんだんを要ようするかなど)を明確めいかくにしたCEM (Common Evaluation Methodology : 共通きょうつう評価ひょうか方法ほうほう) がCCとともに開発かいはつされました。CEMもISO標準ひょうじゅん (ISO/IEC 18045) として発行はっこうされています。 一般いっぱん的てきにCEMと呼よばれていますが、正式せいしきな規格きかくの名称めいしょうはCommon Methodology for Information Technology Security Evaluationです。
CC及およびCEMは、継続けいぞく的てきにアップデートされています。最新さいしんの情報じょうほうは以下いかをご参照さんしょうください。
CCの規格きかく(評価ひょうか基準きじゅん・評価ひょうか方法ほうほう)を参照さんしょうすることができます。
CCに関かんするセミナーで使用しようされた資料しりょうを参照さんしょうすることができます。