世界標準の情報セキュリティ規格：Common Criteriaとその重要性

世界標準の情報セキュリティ規格：Common Criteriaとその重要性

Common Criteriaの概要

– Common Criteriaの概要

情報化社会の現代において、情報セキュリティは、個人にとっても、企業にとっても、そして国家にとっても非常に重要な課題となっています。日々巧妙化するサイバー攻撃や情報漏えいなどの脅威から、大切な情報資産を守るためには、信頼できるセキュリティ対策が欠かせません。

その解決策の一つとして、世界中で注目されているのが「Common Criteria（CC）」という国際規格です。正式にはISO/IEC15408として知られるこの規格は、情報セキュリティ製品が、その機能を適切に設計・実装しているかを評価するための基準を定めています。

CCは、製品の開発者がセキュリティ要件を明確化し、評価者がその要件を満たしているかを客観的に評価することを可能にします。この評価は、国際的に認められた手順と基準に基づいて行われ、その結果、製品の信頼性を客観的に示すことができます。

CCは、日本を含む世界20カ国以上で政府調達基準となっており、情報セキュリティ製品を選択する際の重要な指標となっています。日本政府も、政府機関が導入するIT製品・システムのセキュリティ要件として、CC評価・認証取得を推奨しており、安全な情報社会の実現に向けて積極的に取り組んでいます。

CCの構成と評価プロセス

-共通評価基準（CC）-は、情報セキュリティの国際的な標準規格であり、情報システムのセキュリティを客観的に評価するための枠組みを提供しています。

CCは、三つの主要な部分から構成されています。第一部は「概説と一般モデル」であり、CCの基本的な概念や用語、そして評価の枠組みについて解説しています。第二部は「セキュリティ機能要件」であり、情報システムが備えるべき具体的なセキュリティ機能について詳細に規定しています。第三部は「セキュリティ保証要件」であり、情報システムのセキュリティ機能が意図したとおりに正しく動作することを保証するための要件を定めています。

これらの三つの部分が連携することで、CCは多様な情報システムのセキュリティニーズに対応できる柔軟性と信頼性を確保しています。

CCに基づいた評価は、認証機関と呼ばれる独立した第三者機関によって厳格に管理されています。日本では、独立行政法人情報処理推進機構（IPA）が「ITセキュリティ評価及び認証制度（JISEC）」を運営し、CCに基づいた評価と認証を行っています。この制度により、利用者は情報システムのセキュリティレベルを客観的に判断することができます。

CCの重要性：なぜ重要なのか

– CCの重要性なぜ重要なのか情報を取り扱う製品やシステムが増え続ける現代において、その安全性を確保することは私たち一人ひとりに課せられた重要な課題です。しかし、専門知識を持たない私たちにとって、製品の安全性を見極めることは容易ではありません。そこで重要となるのが「コモンクライテリア（CC）」という国際標準です。

CCは、情報セキュリティ製品の安全性を評価するための共通の枠組みを提供します。これまで、セキュリティ製品の評価は開発者ごとにバラバラで、私たち利用者にとってはその信頼性を判断することが困難でした。CCは、セキュリティの評価基準を明確化することで、製品の信頼性を客観的に比較することを可能にしました。

私たち利用者は、CC認証を取得した製品を選ぶことで、一定水準以上のセキュリティレベルを確保することができます。これは、個人情報の漏洩やサイバー攻撃といったリスクから身を守る上で非常に重要です。また、開発者にとっても、CCは高品質な製品開発を促進する羅針盤となります。CCの要件に準拠することで、国際的に通用する製品を開発することが可能となり、ひいては市場の拡大にも繋がります。

このように、CCは利用者と開発者の双方にとって大きなメリットをもたらし、情報セキュリティの向上に大きく貢献します。CCの普及は、私たちが安心して情報技術を活用できる、より安全な社会の実現へと繋がるのです。

CC認証製品の確認方法

– CC認証製品の確認方法情報技術の普及に伴い、私たちは日常生活や仕事において、様々な情報システムを利用しています。それと同時に、これらのシステムに対するセキュリティの脅威も増大しており、重要な情報資産を守るためには、適切なセキュリティ対策が不可欠です。情報セキュリティ対策の一つとして、セキュリティ製品の導入が挙げられますが、市場には多くの製品が出回っており、その中から自組織にとって本当に信頼できる製品を選び出すことは容易ではありません。そこで、セキュリティ製品の信頼性を客観的に示すものとして「CC認証」が重要となります。CC認証とは、情報セキュリティの国際規格に基づいて、製品のセキュリティ機能が適切に実装され、実際に機能することが第三者機関によって評価・認証されたことを示す制度です。情報処理推進機構(IPA)のウェブサイトでは、このCC認証を取得した製品の一覧を公開しています。製品の導入を検討する際には、IPAのウェブサイトで公開されているCC認証製品リストを参照することで、セキュリティ要件を満たした製品を容易に見つけることができます。リストには、製品名、開発元、認証取得日、認証レベルなどの情報が掲載されています。製品を選ぶ際には、これらの情報を参考に、自組織のセキュリティポリシーに合致した製品を選択することが重要です。例えば、高度なセキュリティレベルが求められるシステムに製品を導入する場合には、認証レベルの高い製品を選ぶ必要があります。また、特定の脅威からシステムを保護するために必要な機能が製品に備わっているかどうかも確認する必要があります。CC認証製品リストは、これらの情報を提供することで、利用者が適切なセキュリティ製品を選択する一助となっています。

まとめ

昨今では、情報技術の急速な発展と普及に伴い、私達の生活はより便利で豊かなものになっています。その一方で、個人情報や機密情報など、重要な情報資産が cyber攻撃の脅威に晒されるリスクも増大しています。このような状況下において、情報セキュリティを確保することは、社会全体にとって喫緊の課題と言えるでしょう。

情報セキュリティを確立し、維持していくためには、信頼できるセキュリティ対策を講じることが不可欠です。そこで重要な役割を担うのが、国際的な枠組みである Common Criteria (CC) です。CCは、情報セキュリティ製品のセキュリティ要件を国際的に標準化したものであり、客観的な評価基準に基づいた製品の評価・認証制度を提供しています。

CCとその評価・認証制度を活用することで、組織や個人が利用する情報システムや製品のセキュリティレベルを客観的に把握することができます。これは、情報セキュリティ製品の調達や開発、運用において、安全性と信頼性を担保するための重要な指針となります。

情報セキュリティは、一企業や一人の力だけで達成できるものではありません。政府、企業、個人がそれぞれが積極的に CC のような国際的な枠組みを活用し、連携していくことで、安全な情報社会の実現に貢献していくことが期待されています。