世界標準の情報セキュリティ規格:Common Criteriaとその重要性

世界標準の情報セキュリティ規格:Common Criteriaとその重要性

セキュリティを知りたい

「Common Criteria」って、セキュリティでよく聞くけど、どんなものですか?

セキュリティ研究家

「Common Criteria」、略してCCは、情報機器のセキュリティがしっかりしているかを確かめるための世界基準なんだ。簡単に言うと、セキュリティのお墨付きを与えるための仕組みと言えるね。

セキュリティを知りたい

世界基準ということは、多くの国で使われているのですか?

セキュリティ研究家

その通り!20ヶ国以上で使われていて、日本もその一つだよ。日本では、IPAという機関がCCに基づいた評価や認証を行っているんだ。

Common Criteriaとは。

「Common Criteria」は、情報技術の安全を守るための知識であり、CCとも呼ばれます。これは、製品やシステムに必要な安全対策が、きちんと設計され、作られているかを評価するための国際的な基準です。(ISO/IEC15408)。 最新版は3.1リビジョン5です。 CCは、現在20か国以上の国で、政府が物品を購入する際の基準となっており、日本でも、政府が情報技術に関する製品やシステムを購入する際には、CCの評価を受け、認証を得た製品を使うことが推奨されています。 CCは、以下の3つの部分から構成されており、これは、国や組織によって異なる情報セキュリティのニーズに合わせられるように設計されています。評価を行う過程は、それぞれの国の認定機関が管理しています。 – パート1:概説と一般モデル – パート2:セキュリティ機能要件 – パート3:セキュリティ保証要件 日本では、IPA(情報処理推進機構)が「ITセキュリティ評価及び認証制度(JISEC)」という制度で認証機関を運営しており、認証された製品の一覧はIPAのウェブサイトからダウンロードできます。

Common Criteriaの概要

Common Criteriaの概要

– Common Criteriaの概要

情報化社会の現代において、情報セキュリティは、個人にとっても、企業にとっても、そして国家にとっても非常に重要な課題となっています。日々巧妙化するサイバー攻撃や情報漏えいなどの脅威から、大切な情報資産を守るためには、信頼できるセキュリティ対策が欠かせません。

その解決策の一つとして、世界中で注目されているのが「Common Criteria(CC)」という国際規格です。正式にはISO/IEC15408として知られるこの規格は、情報セキュリティ製品が、その機能を適切に設計・実装しているかを評価するための基準を定めています。

CCは、製品の開発者がセキュリティ要件を明確化し、評価者がその要件を満たしているかを客観的に評価することを可能にします。この評価は、国際的に認められた手順と基準に基づいて行われ、その結果、製品の信頼性を客観的に示すことができます。

CCは、日本を含む世界20カ国以上で政府調達基準となっており、情報セキュリティ製品を選択する際の重要な指標となっています。日本政府も、政府機関が導入するIT製品・システムのセキュリティ要件として、CC評価・認証取得を推奨しており、安全な情報社会の実現に向けて積極的に取り組んでいます。

項目 内容
概要 情報セキュリティ製品が適切に機能を設計・実装しているかを評価する国際規格 (ISO/IEC15408)
目的 – 製品開発者によるセキュリティ要件の明確化
– 評価者による要件充足の客観的評価
– 製品信頼性の客観的な証明
採用状況 – 世界20カ国以上で政府調達基準
– 日本政府も導入を推奨

CCの構成と評価プロセス

CCの構成と評価プロセス

-共通評価基準(CC)-は、情報セキュリティの国際的な標準規格であり、情報システムのセキュリティを客観的に評価するための枠組みを提供しています。

CCは、三つの主要な部分から構成されています。第一部は「概説と一般モデル」であり、CCの基本的な概念や用語、そして評価の枠組みについて解説しています。第二部は「セキュリティ機能要件」であり、情報システムが備えるべき具体的なセキュリティ機能について詳細に規定しています。第三部は「セキュリティ保証要件」であり、情報システムのセキュリティ機能が意図したとおりに正しく動作することを保証するための要件を定めています。

これらの三つの部分が連携することで、CCは多様な情報システムのセキュリティニーズに対応できる柔軟性と信頼性を確保しています。

CCに基づいた評価は、認証機関と呼ばれる独立した第三者機関によって厳格に管理されています。日本では、独立行政法人情報処理推進機構(IPA)が「ITセキュリティ評価及び認証制度(JISEC)」を運営し、CCに基づいた評価と認証を行っています。この制度により、利用者は情報システムのセキュリティレベルを客観的に判断することができます。

項目 内容
概要 情報システムのセキュリティを客観的に評価するための国際標準規格
構成 – 概説と一般モデル
– セキュリティ機能要件
– セキュリティ保証要件
評価機関 独立した第三者機関(日本では独立行政法人情報処理推進機構(IPA)が担当)
メリット 情報システムのセキュリティレベルを客観的に判断できる

CCの重要性:なぜ重要なのか

CCの重要性:なぜ重要なのか

– CCの重要性なぜ重要なのか情報を取り扱う製品やシステムが増え続ける現代において、その安全性を確保することは私たち一人ひとりに課せられた重要な課題です。しかし、専門知識を持たない私たちにとって、製品の安全性を見極めることは容易ではありません。そこで重要となるのが「コモンクライテリア(CC)」という国際標準です。

CCは、情報セキュリティ製品の安全性を評価するための共通の枠組みを提供します。これまで、セキュリティ製品の評価は開発者ごとにバラバラで、私たち利用者にとってはその信頼性を判断することが困難でした。CCは、セキュリティの評価基準を明確化することで、製品の信頼性を客観的に比較することを可能にしました。

私たち利用者は、CC認証を取得した製品を選ぶことで、一定水準以上のセキュリティレベルを確保することができます。これは、個人情報の漏洩やサイバー攻撃といったリスクから身を守る上で非常に重要です。また、開発者にとっても、CCは高品質な製品開発を促進する羅針盤となります。CCの要件に準拠することで、国際的に通用する製品を開発することが可能となり、ひいては市場の拡大にも繋がります。

このように、CCは利用者と開発者の双方にとって大きなメリットをもたらし、情報セキュリティの向上に大きく貢献します。CCの普及は、私たちが安心して情報技術を活用できる、より安全な社会の実現へと繋がるのです。

項目 内容
CCの定義 情報セキュリティ製品の安全性を評価するための国際標準
CCのメリット(利用者)
  • 一定水準以上のセキュリティレベルを確保
  • 個人情報の漏洩やサイバー攻撃といったリスクから身を守る
CCのメリット(開発者)
  • 高品質な製品開発の促進
  • 国際的に通用する製品を開発
  • 市場の拡大

CC認証製品の確認方法

CC認証製品の確認方法

– CC認証製品の確認方法情報技術の普及に伴い、私たちは日常生活や仕事において、様々な情報システムを利用しています。それと同時に、これらのシステムに対するセキュリティの脅威も増大しており、重要な情報資産を守るためには、適切なセキュリティ対策が不可欠です。情報セキュリティ対策の一つとして、セキュリティ製品の導入が挙げられますが、市場には多くの製品が出回っており、その中から自組織にとって本当に信頼できる製品を選び出すことは容易ではありません。そこで、セキュリティ製品の信頼性を客観的に示すものとして「CC認証」が重要となります。CC認証とは、情報セキュリティの国際規格に基づいて、製品のセキュリティ機能が適切に実装され、実際に機能することが第三者機関によって評価・認証されたことを示す制度です。情報処理推進機構(IPA)のウェブサイトでは、このCC認証を取得した製品の一覧を公開しています。製品の導入を検討する際には、IPAのウェブサイトで公開されているCC認証製品リストを参照することで、セキュリティ要件を満たした製品を容易に見つけることができます。リストには、製品名、開発元、認証取得日、認証レベルなどの情報が掲載されています。製品を選ぶ際には、これらの情報を参考に、自組織のセキュリティポリシーに合致した製品を選択することが重要です。例えば、高度なセキュリティレベルが求められるシステムに製品を導入する場合には、認証レベルの高い製品を選ぶ必要があります。また、特定の脅威からシステムを保護するために必要な機能が製品に備わっているかどうかも確認する必要があります。CC認証製品リストは、これらの情報を提供することで、利用者が適切なセキュリティ製品を選択する一助となっています。

情報セキュリティ対策 CC認証 CC認証製品リスト
情報システムのセキュリティ脅威増加に伴い重要 セキュリティ製品の信頼性を客観的に示す国際規格に基づいた制度。情報セキュリティの国際規格に基づいて、製品のセキュリティ機能が適切に実装され、実際に機能することが第三者機関によって評価・認証されたことを示す。 IPA(情報処理推進機構)のウェブサイトにて、CC認証を取得した製品リストが公開されている。製品名、開発元、認証取得日、認証レベルなどの情報が掲載。

まとめ

まとめ

昨今では、情報技術の急速な発展と普及に伴い、私達の生活はより便利で豊かなものになっています。その一方で、個人情報や機密情報など、重要な情報資産が cyber攻撃の脅威に晒されるリスクも増大しています。このような状況下において、情報セキュリティを確保することは、社会全体にとって喫緊の課題と言えるでしょう。

情報セキュリティを確立し、維持していくためには、信頼できるセキュリティ対策を講じることが不可欠です。そこで重要な役割を担うのが、国際的な枠組みである Common Criteria (CC) です。CCは、情報セキュリティ製品のセキュリティ要件を国際的に標準化したものであり、客観的な評価基準に基づいた製品の評価・認証制度を提供しています。

CCとその評価・認証制度を活用することで、組織や個人が利用する情報システムや製品のセキュリティレベルを客観的に把握することができます。これは、情報セキュリティ製品の調達や開発、運用において、安全性と信頼性を担保するための重要な指針となります。

情報セキュリティは、一企業や一人の力だけで達成できるものではありません。政府、企業、個人がそれぞれが積極的に CC のような国際的な枠組みを活用し、連携していくことで、安全な情報社会の実現に貢献していくことが期待されています。

情報セキュリティの重要性 対策 効果
情報技術の発展と普及により、情報資産がサイバー攻撃の脅威に晒されるリスクが増大 国際的な枠組みである Common Criteria (CC) を活用する 情報システムや製品のセキュリティレベルを客観的に把握できる。情報セキュリティ製品の調達、開発、運用において、安全性と信頼性を担保できる。
タイトルとURLをコピーしました