ITセキュリティ評価及び認証制度|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. ITセキュリティ評価及び認証制度
             

ITセキュリティ評価及び認証制度

ITセキュリティ評価及び認証制度は、情報技術(IT)製品やシステムのセキュリティ機能が国際的な基準に基づいて適切に設計され、実装されていることを評価し、認証を付与する制度です。この制度は、主に以下を目的としています:

  1. IT製品のセキュリティ信頼性の証明
    • セキュリティ機能が国際標準に準拠していることを示します。
  2. 利用者への安心感の提供
    • 製品のセキュリティ品質を客観的に証明することで、利用者が安心して選択できる環境を提供します。
  3. サプライチェーンのセキュリティ向上
    • 認証製品が信頼できるセキュリティ基準に基づいていることを保証。

日本では、**JISEC(Japan Information Technology Security Evaluation and Certification Scheme)**として制度が運営されています。

国際基準と評価フレームワーク

1. 共通基準(Common Criteria, CC)

  • 国際規格ISO/IEC 15408に基づく評価フレームワーク。
  • IT製品やシステムのセキュリティ評価を行うためのグローバルスタンダード。
  • 共通基準は、以下の3つの部分で構成されています:
    1. セキュリティ要件の仕様
    2. セキュリティ機能の設計
    3. セキュリティの実装と評価

2. CCRA(Common Criteria Recognition Arrangement)

  • 共通基準による認証結果を加盟国間で相互認証するための枠組み。
  • 日本を含む30以上の国が加盟。

ITセキュリティ評価のプロセス

  1. 評価対象の選定
    • 製品やシステムが評価の対象となります(例:ファイアウォール、暗号化モジュール、スマートカード)。
  2. セキュリティ要件の定義
    • 製品のセキュリティ仕様を記述した文書(ST:Security Target)を作成。
  3. 評価の実施
    • 認定評価機関が、製品が定義されたセキュリティ要件に適合しているかを評価。
  4. 認証の付与
    • 評価結果をもとに、認証機関が認証を発行。
  5. 継続的な評価
    • 必要に応じて製品のアップデートや変更に伴う再評価を実施。

セキュリティ評価の基準:EAL(Evaluation Assurance Level)

共通基準では、セキュリティ保証レベル(EAL)が7段階に分けられています。EALが高いほど、製品のセキュリティ評価が厳格であることを示します。

EALレベル 説明 適用例
EAL1 機能試験が実施された 基本的なセキュリティ要件を満たす製品
EAL2 構造試験が実施された 市販の一般的なセキュリティ製品
EAL3 手続きによる確認が行われた 中小規模の企業向け製品
EAL4 設計に基づく検証が行われた 一般的なセキュリティ製品
EAL5 半形式的設計に基づく検証が行われた 高度なセキュリティを要求する製品
EAL6 高形式的設計に基づく検証が行われた 政府機関や軍事用途
EAL7 厳密な設計に基づく検証が行われた 高度に機密性のある環境

日本のITセキュリティ評価制度(JISEC)

運営主体

  • 日本では、**IPA(独立行政法人情報処理推進機構)**が認証業務を担当。
  • JISECは、共通基準(CC)を基にしたセキュリティ評価を実施。

対象製品

  • ハードウェアやソフトウェア製品が対象。
  • 例:
    • 暗号モジュール
    • 認証デバイス(ICカードなど)
    • セキュリティソフトウェア(ファイアウォール、VPN)

認証のプロセス

  1. 評価機関による評価
    • IPAが認定した第三者評価機関が評価を実施。
  2. IPAによる審査
    • 評価結果をもとに、IPAが最終的な認証を判断。
  3. 認証の公表
    • 認証された製品情報はJISECのウェブサイトで公表されます。

ITセキュリティ評価及び認証制度のメリット

1. 製品の信頼性向上

  • 認証を受けることで、製品やシステムのセキュリティ性能を証明可能。

2. 顧客への安心感の提供

  • 認証マークにより、利用者が製品を選択する際の指標となる。

3. 国際市場での競争力向上

  • CCRAによる相互認証により、認証が多国間で通用する。

4. セキュリティ向上

  • セキュリティ要件に基づく設計・実装を行うことで、脆弱性の低減につながる。

ITセキュリティ評価及び認証制度の課題

1. 評価プロセスのコスト

  • 評価の実施には高い費用と時間がかかるため、中小企業にとって負担になる場合があります。

2. 技術の進化への対応

  • IT技術が急速に進化する中で、認証基準の更新が課題。

3. 普及率の向上

  • 利用者側が制度の重要性を理解し、認証製品を選択する意識の向上が必要。

まとめ

ITセキュリティ評価及び認証制度は、IT製品やシステムのセキュリティ品質を保証し、利用者に信頼を提供する重要な枠組みです。特に、共通基準(Common Criteria)に基づく評価は、国際的なセキュリティ標準として認知されています。

日本ではJISECが運営主体として評価を実施し、製品やサービスのセキュリティ性能を高めています。認証を取得することで、製品の信頼性や競争力を向上させるだけでなく、セキュリティリスクの軽減にも寄与します。

ITの進化に伴い、制度の柔軟性を高めつつ、認証の普及を促進することが求められています。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。