直訳すれば共通基準となるが、ここでは情報セキュリティ国際評価基準(CC:Common Criteria)の略、つまりISO/IEC15408のことである。アメリカ、カナダ、イギリス、フランス、ドイツ、オランダを中心とするCCプロジェクトが1994年以来ISOと連携しながら、既存のセキュリティ評価基準(複数)を基にCCのドラフトを作成し、1999年6月にISO/IEC15408として成立した。
情報関連システムや情報関連製品に必要なセキュリティ要件が規定されている。情報技術を用いた製品やシステムが備えるべきセキュリティ機能に関する要件(機能要件)と、設計から製品化に至る過程でセキュリティ機能が実現されていることを確認する要件(保証要件)を網羅した要件集。
セキュリティ機能について、用件に基づき確認する作業のことを評価と呼び、評価を受けるために開発者が準備すべき事項も規定されている。製品やシステムが機能要件をどこまで保証しているかを表す尺度として、保証レベルEAL(Evaluation Assurance Level)と呼ばれる7段階の保証要件のサブセットが定義される。最近ではマイクロソフトのWindows 2000がEAL4の認定を受けたことで話題になった。また、セキュリティについての基本概念の説明とともに、評価対象となる製品やシステムのセキュリティ基本仕様を記述するセキュリティターゲットST(Security Target)や、STのベースとなる文書であるプロテクションプロファイルPP(Protection Profile)についても解説している。
関連用語
Copyright © ITmedia, Inc. All Rights Reserved.