コモンクライテリア(Common Criteria、ISO/IEC 15408) とは
コモンクライテリアとは、セキュリティの観点から情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格です。
欧米諸国では1980年代から自国のセキュリティ評価基準と評価制度を持ち、活用されてきました。1990年代になり、これらのセキュリティ評価で先行していた国々により商用製品の活用や国際的な市場からの調達などを目的とした国際的なセキュリティの共通評価基準を作成するプロジェクトが発足したことがコモンクライテリアの始まりです。1999年にコモンクライテリアはISO標準(ISO/IEC 15408)となり、2000年にはJIS標準 (JIS X 5070) として制定されています。
日本では独立行政法人情報処理推進機構が、「ITセキュリティ評価及び認証制度(JISEC:Japan Information Technology Security Evaluation and Certification Scheme)」を運営しています。
コモンクライテリアの適用と評価範囲
コモンクライテリアは、情報技術を用いた製品やシステムのセキュリティ機能を対象としています。ソフトウェアだけでなく、ハードウェア、ファームウェア、システム全体も評価対象となります。
コモンクライテリアでは、セキュリティ機能の技術的な対策や実装、開発におけるプロセスなどを評価の対象とします。
- 脅威に必要な機能が設計書に反映されていること
- 上記機能が設計どおり実装されていること
- 開発現場や配付過程においてセキュリティが侵害される可能性がないこと
- ガイダンス等にセキュリティを保つための必要事項が明確に示されていること
コモンクライテリアでは、評価の深さに応じた保証レベルという概念があります。上記は評価保証レベル(EAL:Evaluation Assurance Level)といいます。
EALの概要
評価保証レベル | 評価保証レベルの目的 |
EAL1 |
|
EAL2 |
|
EAL3 |
|
EAL4 |
|
EAL5 |
|
EAL6 |
|
EAL7 |
|
TOE(評価対象)
TOE(評価対象:Target of Evaluation)は評価の対象となるIT製品またはシステム、
及び関連する管理者/利用者ガイダンス文書のことです。
ST(セキュリティターゲット)
ST(セキュリティターゲット:Security Target)はセキュリティ設計仕様書のことで、
セキュリティ開発方針を厳密に記述するものです。