検索
連載

ISO/IEC15408セキュリティ用語事典

ISO/IEC15408

PC用表示
Share
Tweet
LINE
Hatena

 セキュリティ製品(ハード/ソフトウェア)およびシステムの開発や製造、運用などに関する国際標準であり、情報セキュリティ評価基準として、1999年6月に採択された。ITSEC(Information Technology Security Evaluation Criteria)やCC(Common Criteria)とも呼ばれ、同義で扱われる。

 通信機器・セキュリティ機器に、セキュリティ対策を施す際には、セキュリティ機能を共通化することにより、セキュリティ機能要件を定義し、それを実装するための保証要件を定義されなければならない。この定義がなければ、どんなにセキュリティ強度を上げても、当該製品をして「セキュアである」とはいえない。その根本的な指標を与えるものが、このISO/IEC15408である。

 この国際標準を設けることによるメリットは多くあり、

  • システム利用者が安全性を普遍的価値観の下に評価できる。
  • ハード/ソフトウェアベンダは、国際基準に基づいて機器を開発できる。
  • セキュリティシステム導入に伴う費用とセキュリティ強度を、投資に関する費用対効果として、イメージできる。

といったことが挙げられる。

 本評価基準の規定内容は3部構成であり、以下のように規定される。

Part1 総則および一般モデル
製品およびシステムのセキュリティを確保するための枠組みを示す。セキュリティターゲット(ST:セキュリティ機器、システムの基本設計仕様)の作成や、その基になるプロテクションプロファイル(PP:機器・システムの分野ごとのセキュリティ要求仕様)の作成を規定している。STには、製品やシステムに関するセキュリティ上の脅威分析、脅威に対するセキュリティ対策方針の策定、その対策を実現するためのセキュリティ要件の設計、そのセキュリティ要件を満たすために実装する機能の要約仕様の作成、保証を確保するための開発内容などを記述する。

Part2 セキュリティ機能要件
セキュリティ確保に必要な機能について内容を規定。階層構造で記述されており、上位階層から、「クラス」「ファミリー」「コンポーネント」「エレメント」という順序で表記される。その記述によって具体的要件項目が詳細に決定できる構造を持ち11のクラスで構成されている。

Part3 セキュリティ保証要件
セキュリティ確保に必要な信頼性について内容を規定。製品やシステムに対して、セキュリティ要件の実装の確かさを確認する要件が記述されている。Part2と同じく、階層構造をもって記述される要件は10のクラスから構成される。またPart3では評価保証レベル(EAL :Evaluation Assurance Level)が規定されており、実装の確かさの評価方法についてのレベル付けが決められている。

●EALと用途について(大まかな分類):

  • EAL1〜3:一般民生用
  • EAL4:政府機関向け
  • EAL5〜7:軍用レベルほか、政府最高機密機関レベル向け

 現在、日本における電子政府計画の製品調達にもISO/IEC15408の概念が生かされている。ベンダはISO/IEC15408を満たすSTを作成しなければ、政府調達を得られないことになっている。

関連用語

BS7799
ISMS
Pマーク(プライバシーマーク)

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  2. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  6. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  9. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  10. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
ページトップに戻る