【初心者向け】IT製品の安心の目印!コモンクライテリア (ISO/IEC 15408) って何?🛡️

用語解説
IT評価基準コモンクライテリアセキュリティ国際標準認証制度

パソコンやスマートフォン、あるいは会社の複合機など、私たちが普段使っているIT製品。これらの「安全性」って、どうやって確かめられているか知っていますか?🤔 実は、その「安全性」を客観的に評価するための世界共通の”ものさし”があるんです。それが今回ご紹介する「コモンクライテリア (Common Criteria)」、正式名称「ISO/IEC 15408」です!

なんだか難しそうな名前ですが、心配いりません!このブログでは、IT初心者の方にも分かりやすく、コモンクライテリアがどんなものなのか、なぜ大切なのかを解説していきます。✨

コモンクライテリア (CC) とは? – 国際的なセキュリティ評価基準 🌍

コモンクライテリア(CC)は、IT製品やシステム(ソフトウェア、ハードウェア、ファームウェアなど)のセキュリティ機能が、設計通りにちゃんと作られていて、想定される脅威に対抗できるかを評価するための国際的な標準規格 (ISO/IEC 15408) です。

簡単に言うと、「このIT製品は、セキュリティについて、これだけの基準をクリアしていますよ」ということを、第三者の目線で客観的に証明するためのルールブックのようなものです。📖

1990年代に、欧米の国々がそれぞれ持っていた評価基準を統一しよう!という動きから開発が始まり、1999年にISO/IEC 15408として国際標準になりました。日本でも2000年にJIS規格 (JIS X 5070) となっています。

CCのキーポイント🔑 – PP, ST, TOE, EALって何?

コモンクライテリアを理解する上で、いくつか重要なキーワードがあります。少し専門的に聞こえるかもしれませんが、役割を知れば難しくありません!

TOE (Target of Evaluation) – 評価対象 💻

セキュリティ評価を受けるIT製品やシステムそのものを指します。OS、データベース、ファイアウォール、ICカード、複合機などがこれにあたります。

PP (Protection Profile) – 保護プロファイル 📄

特定の製品カテゴリ(例:複合機、ファイアウォール)に対して、「こういう脅威があるから、こういうセキュリティ機能が必要だよね」という共通の要求事項をまとめた文書です。いわば、製品ジャンルごとのセキュリティ要求仕様書のテンプレートのようなものです。

ST (Security Target) – セキュリティターゲット 🎯

個別の評価対象製品(TOE)について、「この製品はどんな脅威から守るために、どんなセキュリティ機能を持っていて、それがどのようにPP(保護プロファイル)の要求を満たしているか」などを具体的に記述した文書です。製品ごとの詳細なセキュリティ設計書・仕様書と言えます。開発者が作成します。

EAL (Evaluation Assurance Level) – 評価保証レベル 📈

評価がどれだけ厳密に行われたかを示すレベルです。EAL1からEAL7までの7段階があり、レベルが高いほど、より深く、より厳格なテストや検証が行われたことを意味します。ただし、レベルが高い=セキュリティ機能が強い、というわけではなく、あくまで「保証の確かさ」のレベルを示します。

評価保証レベル (EAL) の概要

レベル概要主な評価内容
EAL1機能テスト製品が仕様通りに機能するかをテスト
EAL2構造テスト設計情報とテスト結果をレビュー
EAL3方式テストおよびチェック開発環境のチェック、脆弱性調査などを追加
EAL4方式設計、テスト、およびレビュー設計記述を用いたより詳細な分析、独立した脆弱性分析
EAL5準形式的設計およびテスト形式的な設計とテスト手法を導入
EAL6準形式的検証済み設計およびテスト構造化された開発プロセス全体を分析
EAL7形式的検証済み設計およびテスト形式的な手法を広範囲に適用し、包括的なテストと検証を実施

一般的に、政府調達や多くの商用製品ではEAL4あたりが基準とされることが多いです。

評価と認証の流れ 🔍➡️✅

コモンクライテリアに基づく評価・認証は、以下のような流れで行われます。

  1. 開発者: 製品を開発し、セキュリティターゲット(ST)などの文書を作成します。
  2. 評価機関: 開発者から提出された文書や製品を基に、コモンクライテリアの基準(と共通評価方法 CEM: Common Evaluation Methodology)に従って、セキュリティ機能や開発プロセスなどを厳しくチェック(評価)します。
  3. 認証機関: 評価機関が行った評価結果を審査し、問題がなければ「この製品はCCの基準を満たしています」というお墨付き(認証)を与えます。

日本では、独立行政法人情報処理推進機構(IPA)が認証機関としての役割を担っており、「ITセキュリティ評価及び認証制度(JISEC)」を運営しています。 IPA JISECのページ

どんなメリットがあるの? 🤔

  • 信頼性の向上: 第三者機関による客観的な評価・認証を受けているため、製品のセキュリティに対する信頼性が高まります。ユーザーは安心して製品を選ぶことができます😊
  • 国際的な通用性: CCRA(Common Criteria Recognition Arrangement)という国際的な相互承認の取り決めがあります。これにより、加盟国(日本を含む多くの国が加盟)で認証された製品は、他の加盟国でもその認証が認められます。海外との取引や政府調達で有利になります✈️
  • 調達基準への適合: 日本を含む多くの国で、政府機関がIT製品を調達する際の基準としてCC認証が求められたり、推奨されたりしています。🏢
  • 開発プロセスの改善: CC認証を目指すことで、開発者はセキュリティを意識した設計・開発プロセスを導入・改善するきっかけになります。💪

実際に、OS、データベース管理システム、ファイアウォール、ICカード、複合機、USBメモリなど、様々なIT製品がCC認証を取得しています。IPAのJISECサイトでは、日本で認証された製品のリストも公開されています。

まとめ

コモンクライテリア (ISO/IEC 15408) は、IT製品のセキュリティを評価するための世界共通のものさしです。

この認証がある製品は、セキュリティ機能やその確かさが国際的な基準でチェックされているという証になります。私たちが安全にIT技術を利用するために、とても重要な役割を果たしているんですね!✅

普段何気なく使っている製品にも、もしかしたらCC認証のマークがついているかもしれません。少し気にしてみてはいかがでしょうか? 😉

コメント

タイトルとURLをコピーしました