「セキュリティ技術評価」における目標
セキュリティ技術評価の目的,考え方,適用方法を修得し,応用する。
3.1. セキュリティ評価基準
情報資産の不正コピーや改ざんなどを防ぐセキュリティ製品の,セキュリティ水準を知るためのセキュリティ技術評価の目的,考え方,適用方法を理解する。
用語例
評価方法,セキュリティ機能要件,セキュリティ保証要件,保証レベル,JCMVP(暗号モジュール試験及び認証制度),PCI DSS,CVSS(Common Vulnerability Scoring System : 共通脆弱性評価システム), CWE ( Common Weakness Enumeration:共通脆弱性タイプ),脆弱性診断,ペネトレーションテスト,耐タンパ性,IT 製品の調達におけるセキュリティ要件リスト
3.2. ISO/IEC 15408
情報技術セキュリティの観点から,情報技術に関連した製品及びシステムが適切に設計され,正しく実装されていることを評価するISO/IEC 15408(コモンクライテリア)の適用方法を理解する。
用語例
CC(Common Criteria:コモンクライテリア),ST(Security Target:セキュリティターゲット), CEM ( Common Methodology for Information Technology Security Evaluation:共通評価方法),EAL(Evaluation Assurance Level:評価保証レベル),JISEC(IT セキュリティ評価及び認証制度)