JISEC|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. JISEC
             

JISEC

**JISEC(Japan Information Technology Security Evaluation and Certification Scheme)は、日本における情報セキュリティ評価および認証制度を指します。この制度は、情報セキュリティ製品やシステムが一定のセキュリティ基準を満たしているかを評価・認証する仕組みであり、国際的なセキュリティ基準である共通評価基準(Common Criteria, CC)**に基づいて運用されています。

JISECは、日本の情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)によって管理されており、セキュリティ製品の信頼性向上と、ユーザーが安心して利用できる製品の普及を目的としています。

JISECの目的

  1. セキュリティ基準の可視化
    • セキュリティ製品やシステムのセキュリティレベルを評価し、第三者機関の認証を通じて信頼性を証明します。
  2. 国際標準への準拠
    • 共通評価基準(CC)の適用により、日本国内で認証された製品が国際的な市場でも認められる仕組みを提供します。
  3. ユーザーの安心感の向上
    • 企業や個人が利用する製品のセキュリティレベルが明確になることで、信頼性の高い製品選定が可能になります。
  4. セキュリティ意識の向上
    • 製品開発者に対してセキュリティ対策の重要性を喚起し、より高品質な製品の開発を促進します。

JISECの特徴

共通評価基準(Common Criteria)に準拠

  • JISECは、ISO/IEC 15408(共通評価基準)を基盤としており、国際的に認められたセキュリティ評価手法を採用しています。

セキュリティ評価レベル(EAL)

  • JISECでは、製品やシステムの評価を**EAL(Evaluation Assurance Level)**という尺度で示します。
    • EAL1~EAL7の範囲で評価され、数字が大きいほど高いセキュリティレベルを示します。
    • 例:EAL1は基本的な保証、EAL7は極めて厳密な保証。

第三者機関による評価

  • セキュリティ製品の評価は、認定された第三者評価機関によって実施されます。
  • 評価結果はIPAによって審査され、合格した製品に認証が与えられます。

国際的な相互認証

  • JISECで認証された製品は、**CCRA(Common Criteria Recognition Arrangement)**加盟国においても認められます。
  • 日本国内だけでなく、国際市場での信頼性も担保されます。

JISECのプロセス

  1. 申請
    • 製品開発者またはベンダーがJISEC認証を申請します。
  2. 第三者評価機関による評価
    • 製品のセキュリティ仕様や実装が、共通評価基準に適合しているかを評価します。
  3. IPAによる審査
    • 評価結果を基にIPAが認証の適否を判断します。
  4. 認証の付与
    • 合格した製品にはJISEC認証が付与され、認証番号と証明書が発行されます。

JISECの対象製品

  • ファイアウォール
  • 認証サーバー
  • 暗号モジュール
  • スマートカード
  • セキュリティOS
  • ネットワークセキュリティ製品
  • その他、セキュリティに関わるハードウェアおよびソフトウェア

JISECのメリット

1. 製品の信頼性向上

JISEC認証を取得することで、製品のセキュリティ品質を客観的に示すことができます。

2. 市場競争力の向上

国際標準に基づいた認証は、国内外での製品普及を後押しします。

3. ユーザーへの安心感

認証製品は、ユーザーにとって信頼できる選択肢として認識されます。

4. 法規制対応

認証を取得しておくことで、情報セキュリティに関する法規制やガイドラインへの準拠を示せます。

JISECの課題

評価コスト

  • 評価プロセスが複雑であり、時間と費用がかかるため、中小企業にとっては負担になる場合があります。

技術革新への対応

  • セキュリティ技術が急速に進化する中で、認証が技術の現状に追いつかない場合がある。

JISEC認証の取得事例

  • 組み込みセキュリティデバイス(例:ICカード)
  • ネットワーク機器(例:VPNルーター)
  • 暗号化モジュール(例:SSL/TLSプロトコル対応製品)

まとめ

JISECは、日本における情報セキュリティ製品の信頼性を高めるための重要な認証制度です。共通評価基準(CC)に基づき、製品やシステムのセキュリティレベルを明確に示すことで、ユーザーと開発者の双方にとって安心と信頼を提供します。特に、国際市場で競争力を高めたいセキュリティ製品開発者にとって、JISEC認証は欠かせないものといえるでしょう。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。