|
コモンクライテリア(Common Criteria, 略称 CC)とは、コンピュータセキュリティのための国際規格であり、 ISO/IEC 15408 である。 IT 製品や情報システムに対して、情報セキュリティを評価し認証するための評価基準を定めている。 正式名称は "Common Criteria for Information Technology Security Evaluation"(情報技術セキュリティ評価のためのコモンクライテリア)である。 ISO/IEC 15408 の規格名は "Evaluation criteria for IT security", JIS X 5070 としての名称は「情報技術セキュリティの評価基準」である。 現在は「バージョン3.1 リリース4(2012年9月)」が最新版である。 日本ではコモンクライテリアまたは CC と呼ばれるほか、情報技術セキュリティ評価基準、ITセキュリティ評価基準、広く一般的にはセキュリティ評価基準などと呼ばれる。 現在では独立行政法人情報処理推進機構が、日本の「ITセキュリティ評価及び認証制度(JISEC:Japan Information Technology Security Evaluation and Certification Scheme)」〔ITセキュリティ評価及び認証制度(JISEC) - IPA 独立行政法人情報処理推進機構〕における認証機関を運営している。 == 概要 == CC は 現在世界20 か国以上で政府調達基準とされており、日本においても、政府におけるIT製品・システムの調達に関して CC 評価・認証取得された製品の利用が推進されている。 〔政府機関の情報セキュリティ対策のための統一管理基準(1.5.1.1 情報システムのセキュリティ要件及び1.5.2.2 機器等の購入) - 2011年4月 内閣官房情報セキュリティセンター〕〔IT セキュリティ評価及び認証制度等に基づく認証取得製品分野リスト - 2011年4月 経済産業省〕 また、CCRA加盟国のうちの一国において一度CC評価・認証を受ければ、他の国にも通用する。 情報システムや情報機器が、異なる国々で何度もセキュリティ認証を取得する必要をなくすために、欧州の ITSEC 標準や米国 TCSEC 標準の後継として、ISO の国際規格 (IS, International Standard) となることを目指して開発された。 CC は他のセキュリティ標準(米 FIPS 140 等)とは異なり、満たさなければならないセキュリティ要件のリストそのものを規定するのではなく、セキュリティ評価の枠組み(フレームワーク)を提供している。 この枠組みの中で、利用者はセキュリティ要件(要求仕様)を指定でき、開発者は製品のセキュリティ属性について主張でき、そして、評価者はそのセキュリティ主張を製品が本当に満たしているかどうかを検査できるようになっている。 すなわち CC は、コンピュータセキュリティ製品の要求仕様を示し、開発し、評価するというプロセスが厳密な方式で行なわれたという保証を提供するものである。 CC は以下の3冊で構成される。 *パート1: 概説と一般モデル (Introduction and general model) *パート2: セキュリティ機能要件 (Security functional requirements) *パート3: セキュリティ保証要件 (Security assurance requirements) CC によるセキュリティ評価は、ITSEC (およびその前身であるドイツ BSI 標準の ITS)同様、対象システムのセキュリティ機能性と、信頼性(品質保証)の両面から実施される。 後者においては、使用されている手法の実効性や、実装の正確性が検証されねばならない。 必要な信頼性の度合い、すなわちセキュリティ評価の広さと深さは、通常、EAL (下記参照)として指定される。 CC に基づく評価は、一般にはとても高くつき、それなりに時間もかかる。 評価は認定を受けた評価機関によって実施され、評価結果に対する認証は、CCRA (後述)加盟各国の認証機関(日本の IPA運営のJISEC 等)だけから受けることができる。 評価機関は、厳格に定められた手続きに則って認定され、定期的に更新を受けなければならない。 抄文引用元・出典: フリー百科事典『 ウィキペディア(Wikipedia)』 ■ウィキペディアで「コモンクライテリア」の詳細全文を読む 英語版ウィキペディアに対照対訳語「 Common Criteria 」があります。 スポンサード リンク
|