(Translated by https://www.hiragana.jp/)
CC(ISO/IEC 15408)概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

情報じょうほうセキュリティ

  1. トップページ
  2. 情報じょうほうセキュリティ
  3. ITセキュリティ評価ひょうかおよ認証にんしょう制度せいど(JISEC)
  4. 評価ひょうか認証にんしょう制度せいど(JISEC/ジェイアイセック)について
  5. CC(ISO/IEC 15408)概説がいせつ

CC(ISO/IEC 15408)概説がいせつ

最終さいしゅう更新こうしん:2008ねん10がつ10日とおか

ほん制度せいど基本きほんとなるセキュリティ評価ひょうか基準きじゅんであるCC (ISO/IEC 15408) について、簡単かんたん説明せつめいします。

CC (ISO/IEC 15408) とは

CC (Common Criteria) とは、情報じょうほう技術ぎじゅつセキュリティの観点かんてんから、情報じょうほう技術ぎじゅつ関連かんれんした製品せいひんおよびシステムが適切てきせつ設計せっけいされ、その設計せっけいただしく実装じっそうされていることを評価ひょうかするための国際こくさい標準ひょうじゅん規格きかくです。

欧米おうべい諸国しょこくでは1980年代ねんだいから自国じこくのセキュリティ評価ひょうか基準きじゅん評価ひょうか制度せいどち、軍需ぐんじゅ政府せいふ調達ちょうたつ主体しゅたい活用かつようされてきました。90年代ねんだいになり、これらのセキュリティ評価ひょうか先行せんこうしていた国々くにぐににより商用しょうよう製品せいひん活用かつよう国際こくさいてき市場いちばからの調達ちょうたつなどを目的もくてきとした国際こくさいてきなセキュリティの共通きょうつう評価ひょうか基準きじゅん作成さくせいするプロジェクトが発足ほっそくしたことがCC開発かいはつはじまりです。1999ねん、CCはISO標準ひょうじゅん (ISO/IEC 15408) となり、2000ねんにはJIS標準ひょうじゅん (JIS X 5070) として制定せいていされています。

ITセキュリティ基準きじゅんのための評価ひょうか基準きじゅんしめ名称めいしょうとしては、CC (Common Criteria)あるいはISO/IEC 15408のどちらもおなじものを意味いみします。ただし、規格きかくとして発行はっこうされる場合ばあい、CCとISO/IEC 15408の発行はっこうのタイミングおよびバージョンはかならずしも一致いっちしません。

CCの適用てきよう評価ひょうか範囲はんい

CCは、情報じょうほう技術ぎじゅつもちいた製品せいひんやシステムのセキュリティ機能きのう対象たいしょうとしています。ソフトウェアだけでなく、ハードウェア、ファームウェア、あるいは、システム全体ぜんたい評価ひょうか対象たいしょうとなります。また、製品せいひん形態けいたいとしては、ファイアウォールのように、直接ちょくせつセキュリティに関係かんけいする機能きのう提供ていきょうする製品せいひんかぎらず、オペレーティングシステム、データベース、あるいはグループウェアなど、保護ほごすべき資源しげん保有ほゆうする製品せいひんはすべて評価ひょうか対象たいしょうとなります。
(実際じっさい評価ひょうか対象たいしょう評価ひょうか可否かひについては、かく評価ひょうか機関きかんにおたずねください。)

CCでは、セキュリティ機能きのう技術ぎじゅつてき対策たいさく実装じっそう開発かいはつにおけるプロセスなどをあつかい、評価ひょうか対象たいしょうとします。たとえば、対抗たいこうする脅威きょうい必要ひつよう機能きのう設計せっけいしょ反映はんえいされていること、その機能きのう設計せっけいどおり実装じっそうされていること、開発かいはつ現場げんば配付はいふ過程かていにおいてセキュリティが侵害しんがいされる可能かのうせいがないこと、ガイダンスとうにセキュリティをたもつための必要ひつよう事項じこう明確めいかくしめされていることなどを評価ひょうかします。最終さいしゅうてきには、それらの証拠しょうこ公知こうち情報じょうほうから懸念けねんされる脆弱ぜいじゃくせいについて評定ひょうじょうおよびテストが実施じっしされます。

また、どのふかさまで評価ひょうかするかという保証ほしょうレベルという概念がいねんがあります。たとえば、機能きのう仕様しよう、インタフェース仕様しようおよ製品せいひんガイダンスのみを入力にゅうりょくとした分析ぶんせきより、評価ひょうか対象たいしょう内部ないぶ設計せっけい資料しりょうくわえることでよりたか保証ほしょうられるでしょう。必要ひつよう実装じっそうコードを確認かくにんすればさらにたか保証ほしょうられますが、一方いっぽう評価ひょうかのための費用ひよう時間じかんなどのコストもおおきくなります。このように、評価ひょうかされる製品せいひんかれる使用しよう環境かんきょうまもるべき資産しさん価値かちなどにより、適切てきせつ保証ほしょうレベルを選択せんたくすることで、られる保証ほしょうのレベルとコストのバランスを考慮こうりょすることができます。

CCは、評価ひょうか対象たいしょう製品せいひんかかるいろいろな側面そくめん評価ひょうかしますが、製品せいひんやシステムを利用りようする組織そしきにおける要員よういんのセキュリティ教育きょういくやセキュリティ監査かんさ実施じっしといった組織そしきじょう運用うんよう管理かんりについては、使用しようじょう前提ぜんてい条件じょうけんとしてあつかわれ、評価ひょうか対象たいしょうとはなりません。

CCの意義いぎ

CCによって、情報じょうほう技術ぎじゅつ製品せいひんのセキュリティの度合どあいを、仕様しようしょやガイダンス、開発かいはつプロセスなど様々さまざま視点してんから系統けいとうてき評価ひょうかできるようになります。消費しょうひしゃ調達ちょうたつしゃ)は、導入どうにゅう検討けんとうしている製品せいひん共通きょうつう基準きじゅん比較ひかくすることができ、必要ひつようなセキュリティレベルにおうじて必要ひつよう機能きのう具備ぐびし、運用うんよう管理かんりまで考慮こうりょした製品せいひんやシステムを、適正てきせいなコストで導入どうにゅうすることが可能かのうとなります。

また、開発かいはつしゃはCCを考慮こうりょしたセキュリティ対策たいさくやセキュリティ機能きのう設計せっけいをすることにより、考慮こうりょもれのない安全あんぜん製品せいひんやシステムを開発かいはつすることが可能かのうとなります。

CCは、情報じょうほう技術ぎじゅつセキュリティに関連かんれんした製品せいひんやシステムの開発かいはつしゃだけでなく、製品せいひん導入どうにゅう利用りようする消費しょうひしゃ製品せいひんやシステムの評価ひょうかしゃなどに、ぜひっておいていただきたい規格きかくであるとえます。

CEM 共通きょうつう評価ひょうか方法ほうほう

CCにもとづいた評価ひょうかが、ことなる制度せいど評価ひょうか機関きかんでなされても、その評価ひょうか結果けっか均質きんしつである必要ひつようがあります。そのため、評価ひょうか使用しようされる手法しゅほう(どのような対象たいしょう評価ひょうかし、どのような判断はんだんようするかなど)を明確めいかくにしたCEM (Common Evaluation Methodology : 共通きょうつう評価ひょうか方法ほうほう) がCCとともに開発かいはつされました。CEMもISO標準ひょうじゅん (ISO/IEC 18045) として発行はっこうされています。

一般いっぱんてきにCEMとばれていますが、正式せいしき規格きかく名称めいしょうはCommon Methodology for Information Technology Security Evaluationです。

関連かんれん情報じょうほう

CCおよびCEMは、継続けいぞくてきにアップデートされています。最新さいしん情報じょうほう以下いかをご参照さんしょうください。

評価ひょうか基準きじゅん

CCの規格きかく(評価ひょうか基準きじゅん評価ひょうか方法ほうほう)を参照さんしょうすることができます。

セミナー資料しりょう

CCにかんするセミナーで使用しようされた資料しりょう参照さんしょうすることができます。