情報セキュリティマネジメント試験 科目A キーワード集 > ISO/IEC 15408(CC)
概要
ISO/IEC 15408は、IT製品やシステムのセキュリティ機能が適切に設計・実装されているかを評価・認証するための国際規格です。通称コモンクライテリア(CC:Common Criteria)と呼ばれます。
組織のマネジメント体制を評価するISMS(27001)とは異なり、こちらは「製品・システムそのもののセキュリティ」を評価する点が大きな特徴です。評価の度合いはEAL(評価保証レベル)で表されます。
詳細(EAL・評価対象)
- 評価の保証レベルはEAL1〜EAL7の7段階で表され、数字が大きいほど厳格に検証されている。
- 評価対象(TOE)に対し、セキュリティ要件(PP:プロテクションプロファイル、ST:セキュリティターゲット)を定めて評価する。
- ICカード、OS、ファイアウォール、複合機など、さまざまなIT製品が評価対象となる。
ISO/IEC 15408のキーワードは「
IT製品・システムのセキュリティ評価」「
コモンクライテリア(CC)」「
EAL(評価保証レベル)」。
ISMS(組織の仕組みの評価)との対象の違いが頻出です。
評価制度(JISEC)
- 日本ではJISEC(ITセキュリティ評価及び認証制度)として運用され、IPAが関与している。
- 評価機関がISO/IEC 15408に基づき製品を評価し、認証機関が認証する。
- 政府調達などで、認証取得済み製品が求められる場合がある。
ISMSとの違い・関連例
ICカードやセキュリティ機器など、高いセキュリティが求められる製品では、ISO/IEC 15408の認証取得が信頼性の証として重視されます。組織の認証であるISMSや、個人情報保護のプライバシーマークとは評価の対象が異なる点を押さえましょう。
試験での問われ方
- 「IT製品・システムのセキュリティを評価する国際規格はどれか」→ ISO/IEC 15408(コモンクライテリア)。
- 「ISO/IEC 15408の評価保証レベルを表すものはどれか」→ EAL。
- 「ISMSとISO/IEC 15408の評価対象の違い」を問う問題。