ホーム
テクノロジ系
C. 技術要素
ⅩⅠ. セキュリティ
3. セキュリティ技術評価

3.2. ISO/IEC 15408

1. 概要

 ISO/IEC 15408、通称コモンクライテリア(CC: Common Criteria)は、情報技術(IT)製品およびシステムのセキュリティ機能を評価するための国際標準規格です。この規格の主な目的は、IT製品やシステムが適切に設計され、正しく実装されていることを、セキュリティの観点から評価することです。

 コモンクライテリアの重要性は、以下の点にあります:

1.1. 国際的な相互承認

 世界各国がコモンクライテリアの評価結果を相互に承認し合うことで、評価済み製品の信頼性が向上します。例えば、アメリカ、イギリス、ドイツ、日本などの国々が相互承認の枠組みに参加しています。

1.2. セキュリティ要件の標準化

 異なる国や機関が共通の基準でセキュリティ要件を定めることで、国際的な市場での統一性が確保されます。

1.3. 製品の信頼性向上

 コモンクライテリア認証を受けることで、製品がセキュリティに対して慎重に設計されていることが証明され、ユーザーにとっての信頼性が向上します。

1.4. セキュリティ意識の向上

 認証を取得するプロセスを通じて、開発者や組織のセキュリティ意識が高まります。

2. 詳細説明

2.1. コモンクライテリアの構成

 コモンクライテリアは、以下の主要な要素で構成されています:

  • CC(Common Criteria:コモンクライテリア):評価基準を定義し、IT製品やシステムのセキュリティ機能と保証要件を評価します。
  • ST(Security Target:セキュリティターゲット):評価対象の具体的な要件を記述したドキュメントで、製品が満たすべきセキュリティ機能や保証要件を明確にします。
  • CEM(Common Methodology for Information Technology Security Evaluation:共通評価方法):評価プロセスを一貫して行うための手法を規定します。

2.2. 評価プロセス

 評価プロセスは以下の手順で行われます:

  1. STの作成:評価対象のセキュリティ要件を明確にするために、具体的なセキュリティターゲットを作成します。これには、評価対象の製品やシステムの識別情報、セキュリティ課題定義、対策方針が含まれます。
  2. 評価の実施:CEMに基づき、製品がSTで定義されたセキュリティ要件を満たしているかを評価します。評価には、機能テスト、設計レビュー、脆弱性分析などが含まれます。
  3. 評価結果の検証:第三者機関が評価結果を検証し、正確性と信頼性を確認します。
  4. 認証の発行:評価が成功した場合、認証が発行され、製品がコモンクライテリアの基準を満たしていることが正式に認証されます。

2.3. EAL(Evaluation Assurance Level:評価保証レベル)

 EALは、評価の厳密さを示す指標で、EAL1(最低)からEAL7(最高)まで7段階があります。各レベルは、評価の深度と複雑さを示し、レベルが上がるほど詳細な検証が行われます。

  • EAL1:機能テストのみ
  • EAL2:構造化テスト
  • EAL3:方法論的にテストと確認
  • EAL4:方法論的に設計、テスト、レビュー
  • EAL5:準形式的設計と検証
  • EAL6:準形式的に検証された設計と検証
  • EAL7:形式的に検証された設計と検証

 一般的な商用製品では、EAL4までが多く使用されています。EALの高いレベルを取得するためには、製品の設計と実装に対して非常に詳細な分析と検証が必要です。

3. 応用例

3.1. 政府機関での利用

 多くの国の政府機関が、重要なITシステムの調達時にコモンクライテリア認証を要求しています。例えば、アメリカの連邦政府は、セキュリティ要求に適合する製品として、コモンクライテリア認証を取得した製品の使用を推奨しています。

3.2. 金融業界での活用

 銀行やクレジットカード会社が、ATMや決済システムのセキュリティ評価にコモンクライテリアを利用しています。例えば、ヨーロッパの一部の銀行では、セキュリティ機能が強化されたATM機器を導入する際に、コモンクライテリア認証を取得することが義務付けられています。

3.3. 日本におけるJISEC

 日本では、JISEC(ITセキュリティ評価及び認証制度)がコモンクライテリアに基づく評価・認証を行っています。JISECは、製品の評価と認証を行う機関で、国内外のセキュリティ基準に適合した製品の使用を促進し、情報セキュリティの向上に貢献しています。

4. 例題

例題1

 コモンクライテリア(CC)における「ST」の役割について説明してください。

回答例
 STは、Security Target(セキュリティターゲット)の略で、評価対象となるIT製品やシステムのセキュリティ要件を具体的に記述したドキュメントです。STには、評価対象の識別情報、セキュリティ課題定義、セキュリティ対策方針、セキュリティ要件などが含まれます。STは評価の基礎となる重要な文書であり、製品が満たすべきセキュリティ機能や保証要件を明確にする役割を果たします。

例題2

 EAL(Evaluation Assurance Level)の意味と、その範囲について説明してください。

回答例
 EALは、Evaluation Assurance Level(評価保証レベル)の略で、IT製品やシステムのセキュリティ評価の厳密さを示す指標です。EALは1から7までの7段階があり、数字が大きいほど評価の厳密さが高くなります。

  • EAL1:機能テストのみ
  • EAL2:構造化テスト
  • EAL3:方法論的にテストと確認
  • EAL4:方法論的に設計、テスト、レビュー
  • EAL5:準形式的設計と検証
  • EAL6:準形式的に検証された設計と検証
  • EAL7:形式的に検証された設計と検証  一般的な商用製品では、EAL4までが多く使用されています。

5. まとめ

 ISO/IEC 15408(コモンクライテリア)は、IT製品およびシステムのセキュリティ機能を評価するための国際標準規格です。主要な構成要素として、CC、ST、CEMがあり、評価プロセスにはSTの作成、評価の実施、結果の検証、認証の発行が含まれます。評価の厳密さはEALで表され、政府機関や金融業界など、さまざまな分野で活用されています。日本ではJISECがこの制度を運用しており、IT製品やシステムのセキュリティ品質向上に貢献しています。