第22問
「IT セキュリティ評価及び認証制度」において「認証機関が公開する評価基準」の 規格として公開しているCommon Criteria の説明として、最も適切なものはどれ か。
- ア 運用時の脆弱性や誤使用に対する抵抗力も評価される。
- イ 企業などで業務処理に利用する個別情報システムのセキュリティ能力を評価す る。
- ウ 基準を適用する際に使用すべき評価方法についても規定している。
- エ 認定における評価結果を用いるための手続きについても規定している。 ― 18― ◇M6(743―157)
▼ 解答・解説を見る
正解:ア
解答:ア
〔Common Criteria(CC/ISO・IEC 15408)〕CCは、IT製品・システムのセキュリティ機能を共通の基準で評価するための国際標準(評価基準)である。
- ア(○):CCの評価では、製品が持つセキュリティ機能だけでなく、運用時の脆弱性や誤使用(不適切な利用)に対する抵抗力も評価対象に含まれる。妥当な記述。
- イ(×):CCが評価するのは主にIT製品やそのセキュリティ機能の能力(評価対象=TOE)であり、「企業が業務処理に利用する個別情報システム」そのものを評価対象とすると限定するのは不適切。
- ウ(×):CC(評価基準)が定めるのは評価の基準・要件であって、実際に適用する評価方法そのものは別文書である共通評価方法(CEM)が規定する。CC自体が評価方法を規定するとするのは誤り。
- エ(×):評価結果を用いるための(認証・運用上の)手続きは認証制度側で定めるものであり、評価基準であるCCが規定するわけではない。誤り。
よってア。