セキュリティの国際基準:コモンクライテリアとは?
セキュリティを知りたい
先生、「コモンクライテリア」って、よく聞くんですけど、何なのか教えてください。
セキュリティ研究家
「コモンクライテリア」は、簡単に言うと、製品のセキュリティの強さを確かめるための世界共通の基準だよ。 みんなが安心して使える製品かどうかを判断するのに役立つんだね。
セキュリティを知りたい
世界共通の基準だと、誰でも分かりやすくていいですね!でも、セキュリティの強さをどうやって確かめるんですか?
セキュリティ研究家
専門家が実際に製品をテストして、セキュリティの強さを評価するんだよ。その評価は7段階あって、数字が大きいほど、より厳しいテストをクリアした、セキュリティの高い製品ということになるんだ。
コモンクライテリアとは。
製品の安全性を高めるための国際的な基準、『コモンクライテリア』について説明します。正式名称は『コモン・クライテリア(Common Criteria)』で、略して『CC』と呼ぶこともあります。これは、製品の安全性能に関する国際的なお墨付きを与える枠組みで、ISO/IEC15408という番号で国際規格にもなっています。
コモン・クライテリアは、製品を作った会社が「この製品には、このような安全機能があり、このように性能が高い」と説明していることを、第三者がテストすることで証明するものです。
この仕組みは、はじめはアメリカ、イギリス、フランス、ドイツ、カナダ、オランダの6か国で考えだされ、その後、世界共通の規格となりました。
対象となる製品は、システムやソフトウェア、ハードウェアなど多岐に渡ります。これらの製品を評価する際には、『EAL』と呼ばれるレベルを使います。『EAL』は『評価保証レベル』の略で、1から7までの数字で表されます。数字が大きくなるほど、より細かく厳しい評価が行われ、製品の安全性能がより確かに保証されることになります。
コモン・クライテリアは、特に政府が製品を調達する際に重要な基準として使われています。例えば、アメリカの国防総省や、日本の会社がアメリカの軍事 equipment をライセンス生産する際にも、この規格が用いられています。
はじめに
– はじめにと
現代社会において、情報セキュリティは個人や組織にとって欠かせないものとなっています。インターネットの普及により、誰もが簡単に情報発信や取引を行えるようになった反面、情報漏洩や不正アクセスといった脅威にもより容易にさらされるようになりました。日々、ニュースで企業の機密情報流出や個人情報の悪用といった事件を耳にすることも珍しくありません。こうした脅威から自身や組織を守るためには、セキュリティ対策製品やシステムを導入することが有効です。しかし、市場には「セキュリティ対策済み」を謳う製品やシステムが数多く存在し、その中から本当に信頼できるものを選ぶことは容易ではありません。製品の広告や説明文だけを鵜呑みにしてしまうと思わぬ落とし穴にはまってしまう可能性もあります。そこで重要となるのが、国際的なセキュリティ認証基準である「コモンクライテリア」です。コモンクライテリアは、セキュリティ製品やシステムが、国際的に認められた基準に基づいて、適切に設計・開発され、評価されていることを証明する制度です。この認証を取得している製品は、第三者機関による厳格な評価を受けているため、高い信頼性を期待することができます。次の章では、コモンクライテリアの概要や認証取得のメリットについて詳しく解説していきます。
| 情報セキュリティの現状 | 課題 | 解決策 |
|---|---|---|
| インターネットの普及により情報漏洩や不正アクセスの脅威が増大 | セキュリティ対策製品・システムの信頼性を見極めるのが困難 | 国際的なセキュリティ認証基準「コモンクライテリア」の活用 |
| 情報漏洩や個人情報の悪用といった事件が増加 | 製品の広告や説明文だけでは十分な判断材料にならない | コモンクライテリア認証取得製品は第三者機関による厳格な評価を受けているため、高い信頼性を期待できる |
コモンクライテリアの概要
– コモンクライテリアの概要コモンクライテリアは、情報セキュリティ製品のセキュリティの強度を測る、世界共通の基準です。正式にはISO/IEC15408という番号が付けられています。この基準は、製品を作る側ではなく、第三者機関が評価を行う際に使われます。つまり、製品が本当に安全に作られているのかを、公平な立場で判断するための基準と言えるでしょう。コモンクライテリアの評価では、製品が開発者の意図したセキュリティ機能をきちんと備えているか、様々な角度から厳しくチェックされます。開発者が「この製品は安全です」と主張するだけでなく、実際に安全性が保証されているかを確認することが重要です。そのために、製品の設計図から、実際に製品がどのように動作するのかまで、あらゆる側面を細かく検証します。例えば、あるシステムに重要な情報を守るための鍵があるとします。コモンクライテリアの評価では、鍵が適切に保管されているか、鍵を使うための手順に問題はないか、もし鍵が盗まれた場合はどうなるのか、といった点を細かく調べます。このように、製品のあらゆる部分を徹底的に調べることで、本当に信頼できる製品かどうかを判断します。コモンクライテリアは、世界中で認められているセキュリティの基準です。この基準を満たした製品は、高いレベルのセキュリティを備えていることが保証されます。そのため、重要な情報を扱うシステムや製品を選ぶ際には、コモンクライテリアの評価を受けているかどうかを参考にすると良いでしょう。
| 項目 | 内容 |
|---|---|
| 定義 | 情報セキュリティ製品のセキュリティ強度を測る世界共通基準 (ISO/IEC15408) |
| 評価主体 | 第三者機関 (製品開発者以外) |
| 評価視点 | 製品が開発者の意図したセキュリティ機能を備えているか、様々な角度から検証 |
| 評価対象 | 製品の設計図、実際の動作などあらゆる側面 |
| 評価例 | 重要な情報を守る鍵の保管方法、使用手順、盗難時の対策などを検証 |
| メリット | 世界で認められた基準であり、高いレベルのセキュリティを保証 |
| 推奨される利用シーン | 重要な情報を扱うシステムや製品選び |
評価保証レベル(EAL)
– 評価保証レベル(EAL)とは情報セキュリティの世界では、製品やシステムがどれくらい信頼できるのかを客観的に示すことが重要です。その指標の一つとして、コモンクライテリアと呼ばれる国際的な評価基準の中で、-評価保証レベル(EAL Evaluation Assurance Level)- が用いられています。EALは、製品やシステムのセキュリティ評価の厳しさを7段階で表します。レベル1からレベル7まであり、数字が大きくなるほど、より深く詳細な評価が行われたことを意味します。例えば、EAL1は、基本的な機能が正しく動作するかを確認する試験など、比較的簡単な評価です。一方、EAL7は、製品の設計図や開発工程、さらには開発チームの体制やセキュリティ管理状況まで厳しく評価されます。どのEALを選ぶかは、製品やシステムの用途や重要度によって異なります。例えば、個人情報を取り扱うシステムや、社会インフラを支える重要なシステムには、より高いレベルのEALが求められます。EALは、あくまでもセキュリティの評価基準の一つに過ぎません。しかし、国際的な基準に基づいた客観的な指標であるため、製品やシステムを選ぶ際の重要な判断材料となります。
| 評価保証レベル(EAL) | 説明 |
|---|---|
| EAL1 | 基本的な機能の確認など、比較的簡単な評価 |
| EAL7 | 製品の設計図や開発工程、開発チームの体制やセキュリティ管理状況まで厳しく評価 |
コモンクライテリアの活用事例
– コモンクライテリアの活用事例
コモンクライテリアは、情報セキュリティの国際標準規格であり、製品やシステムのセキュリティ評価に広く活用されています。特に、政府機関や重要インフラストラクチャ関連の製品調達においては、その信頼性の高さから重要な役割を担っています。
例えば、アメリカ国防総省では、情報セキュリティ製品の調達に際し、コモンクライテリア認証の取得を義務付けています。これは、国防に関する機密情報やシステムを保護するために、国際的に認められた厳格なセキュリティ基準を満たす製品を調達する必要があるためです。
また、日本においても防衛装備品の調達など、国の安全保障に関わる重要なシステムにおいて、コモンクライテリアが参考にされています。
このように、コモンクライテリアは特定の国や地域に限らず、世界中で情報セキュリティを確保するための重要なツールとして活用されています。
コモンクライテリアの活用は、政府機関や重要インフラストラクチャ関連の製品調達にとどまりません。民間企業においても、情報漏えい対策やセキュリティ対策強化の一環として、コモンクライテリア認証を取得した製品やシステムを導入するケースが増えています。
コモンクライテリアは、国際的に認められたセキュリティ基準に基づいて、製品やシステムのセキュリティ機能を評価するため、第三者機関による客観的な評価指標として、その重要性は今後ますます高まっていくと考えられます。
| 主体 | 活用事例 | 目的 |
|---|---|---|
| アメリカ国防総省 | 情報セキュリティ製品の調達に際し、コモンクライテリア認証の取得を義務付け | 国防に関する機密情報やシステムを保護 |
| 日本 | 防衛装備品の調達など、国の安全保障に関わる重要なシステムにおいて、コモンクライテリアを参考に | 国の安全保障の確保 |
| 民間企業 | 情報漏えい対策やセキュリティ対策強化の一環として、コモンクライテリア認証を取得した製品やシステムを導入 | 情報漏えい対策やセキュリティ対策強化 |
まとめ
– まとめ
情報セキュリティ対策は、現代社会において必要不可欠なものとなっています。日々進化する脅威から重要な情報資産を守るためには、信頼性の高いセキュリティ製品を選ぶことが重要です。
そこで注目すべき国際標準規格が「コモンクライテリア」です。コモンクライテリアは、情報セキュリティ製品の信頼性を客観的に評価するための枠組みを提供します。この規格では、製品のセキュリティ機能を評価するだけでなく、開発プロセス全体を厳格に審査します。
つまり、コモンクライテリア認証を取得した製品は、そのセキュリティ機能の高さだけでなく、開発過程における安全性も保証されていると言えるでしょう。政府機関や企業は、コモンクライテリア認証を取得した製品を優先的に調達することで、情報セキュリティリスクを大幅に低減し、より安全なシステムを構築することができます。
情報セキュリティ製品を選ぶ際には、コモンクライテリア認証の有無を参考に、信頼性の高い製品を選び出すように心がけましょう。
| 情報セキュリティ対策の重要性 | コモンクライテリアとは | メリット |
|---|---|---|
| 現代社会において必須 日々進化する脅威から情報資産を守る |
情報セキュリティ製品の信頼性を客観的に評価する国際標準規格 セキュリティ機能だけでなく、開発プロセス全体を審査 |
セキュリティ機能の高さの保証 開発過程における安全性の保証 情報セキュリティリスクの低減 より安全なシステム構築 |