FAQ
ホーム > FAQ

FAQ

国際標準ISO/IEC15408 (Common Criteria) の基礎知識

評価認証制度


国際標準ISO/IEC15408 (Common Criteria) の基礎知識

ISO/IEC15408(Common Criteria)とは何ですか?
「ISO/IEC 15408」とは、下記を評価・検証するためのセキュリティ国際標準規格です。
  • IT製品・ITシステムが、想定される脅威に対して必要十分なセキュリティ機能が設計されている
  • セキュリティ機能のロジックが設計どおり正しく実装されている
ISO/IEC15408の原本であるCC(Common Criteria)と同等の内容であるため、 CCと呼ぶこともあります。
ISO/IEC15408(Common Criteria)の対象は何ですか?
セキュリティ機能を備えたIT製品・ITシステム(ハードウェア/ソフトウェア/ファームウェア)です。
1)IT製品には、次のような例があります。
  • ハードウェア:ICカード、ICチップ
  • ソフトウェア:OS、ファイアウォール
  • ファームウェア:複合複写機制御ファームウェア
2)ITシステムには、次のような例があります。
  • 電子商取引システム
  • 人事管理システム
Common Criteriaの日本語版の規格文書はどこで入手できますか?
IPAのホームページで公開されています。
http://www.ipa.go.jp/security/jisec/cc/index.html
Common Criteriaに基づいた評価方法の日本語版の規格文書はどこで入手できますか?
IPAのホームページで公開されています。
http://www.ipa.go.jp/security/jisec/cc/index.html
Common Criteriaの原本はどこで入手できますか?
Common Criteria Portal で公開されています。
http://www.commoncriteriaportal.org/

評価認証制度

IT製品・ITシステムの評価はどこに依頼すればよいのでしょうか?
ITセキュリティセンターにご相談ください。
評価作業とはどのようなものなのでしょうか?
CEM (Common Methodology for Information Technology Security Evaluation )と呼ばれる評価手法に基づいて、IT製品・ITシステムのセキュリティ機能の論理の正当性を検証します。CEMも国際標準規格として公開されています。http://www.ipa.go.jp/security/jisec/cc/index.html
評価を受けるために、どのようなものを用意したらよいのでしょうか?
保証レベル(EAL)によって異なりますが、評価対象のIT製品・ITシステム本体および、ST(セキュリティターゲット)、その開発関連ドキュメント、利用者ドキュメント、テスト仕様書などです。 
特に、STと呼ばれるIT製品・ITシステム全体のセキュリティの考え方について記述したセキュリティポリシー設計書は重要な文書です。
評価にかかる期間・費用はどのくらいでしょうか?
評価対象製品のプログラムサイズ、ドキュメント量、保証レベル(EAL)によって変わりますが、目安としては、期間がおよそ3~8ヶ月、費用がおよそ300万円~2,000万円程度とお考えください。
見積もり時にはST (暫定版でも可)が必要になります。
詳細は、お問合せ窓口からお問い合わせ下さい。

なお、評価とは別途、認証機関が行う認証作業にも時間と費用がかかります。
認証費用は、認証機関が発行する「CCM-02 ITセキュリティ認証申請手続等に関する規程」に記載されています。
http://www.ipa.go.jp/security/jisec/prcdr.html
認証作業とはどのようなものなのでしょうか?
認証機関が、IT製品・ITシステムの評価作業が正当に行われたことを検証します。認証書を取得するためには、評価と認証を受ける必要があります。
我が国のスキーム(JISEC)における認証機関は、独立行政法人 情報処理推進機構(IPA)内にあります。
評価・認証された製品はどのような項目が公表されるのでしょうか?
Common Criteria PortalやJISECのホームページ上で、認証されたIT製品・ITシステムの名称、バージョン、供給元、認証レベル、製品情報、認証書、認証報告書、STなどが公表されます。(希望により非公開にすることも可能です。)
認証報告書には、IT製品・ITシステムの機能、セキュリティ機能、テストした内容の概要などが記述されます。
詳細の公表を控えることはできますか?
評価・認証の申請書類で非公開を選択することにより、評価・認証を行ったこと自体を秘匿できます。
その他の選択肢として、認証報告書やセキュリティターゲットを非公開にすることができます。 この場合、製品情報のみ公開されます。
日本で認証を取得したら、それは世界中で有効なのですか?
日本で取得した認証は、CCRA(*)に加盟した国で有効です。
CCRA加盟国は こちらです。
(*)CCRA
Common Criteria Recognition Arrangement
各国の政策実施機関がIT製品等の安全性を客観的に評価した結果を国際的に相互承認するための仕組み
CCには、いくつかバージョンがあるようですが、どれを使えばよいのでしょうか?
使用可能なCCのバージョンはCCRAで決められます。
2010年11月現在、v3.1 Release3が有効です。
CCのバージョンが上がると、過去に取得した認証は無効になるのですか?
日本のスキームにおいては、v.2の認証書は継続して有効とされています。(他国については、それぞれのスキームごとに規定が異なります。)
ただし、最初の「認証書」の発行日から5年以上経過したTOEの保証継続の認証は受け付けられません。
注目ワード> ISO/IEC15408 コモンクライテリア JISEC 電子政府推奨暗号リスト JCMVP  FIPS140 CMVP/CAVP
Copyright (C) 2007-2017 Information Technology Security Center. All Rights Reserved