セキュリティ評価

ITSCとITセキュリティ評価及び認証制度

一般社団法人ITセキュリティセンター(ITSC)は、「ITセキュリティ評価及び認証制度」(JISEC:Japan Information Technology Security Evaluation and Certification Scheme)の第三者評価機関として独立行政法人製品評価技術基盤機構(NITE)から認定されています。
ITセキュリティセンターの前身である社団法人電子情報技術産業協会(JEITA) ITSCは、日本で初めてNITEから評価認証レベルEAL4の認定を受けた評価機関です。
IT関連製品のセキュリティ機能の適切性・確実性を、ISO/IEC 15408に基づいて評価作業を実施いたします。

ITセキュリティ評価及び認証制度(JISEC)

ITセキュリティ評価及び認証制度と政府機関の調達要件

政府機関がIT製品を調達する際のセキュリティ機能に対する要件として、経済産業省策定の「IT製品の調達におけるセキュリティ要件リスト(PDFファイル)」(平成30年2月28日)が公開されており、ISO/IEC15408に基づく第三者認証の活用が有用であることが記載されています。

CCRA (Common Criteria Recognition Arrangement)

ITセキュリティ評価及び認証制度で認証された製品は、cPP適合の場合はEAL4まで、それ以外はEAL2までCCRA加盟国間で相互に通用します。
CCRA加盟国のうち国内に認証制度を持つ国は認証国(Certificate Authorizing)と呼ばれ、認証制度は持たないが認証国で認証された製品を受け入れる国は認証受入国(Certificate Consuming)と呼ばれます。
認証された製品をCCRAに登録するとCCRAの製品リストに掲載されます。

認証国と認証受入国(2023年3月現在)

認証国(CAP):18カ国

オーストラリアノルウェー
カナダポーランド
フランスカタール
ドイツ韓国
インドシンガポール
イタリアスペイン
日本スウェーデン
マレーシアトルコ
オランダアメリカ

認証受入国(CCP):13カ国

オーストリア インドネシア
チェコイスラエル
デンマークニュージーランド
エチオピアパキスタン
フィンランドスロバキア
ギリシャイギリス
ハンガリー

参照: The COMMON CRITERIA Members of the CCRA

ISO/IEC15408に準拠した
IT製品/システム評価の実績

ITSCはISO/IEC15408に基づいたIT製品/システムの評価業務において数多くの実績があります。

年度ITSC件数全件数
~200767137
20082761
20092042
20101737
2011 1859
20122549
2013637
20141440
20151632
20161035
20171462
20182338
20191232
20201235
20211439
20221630

注)

  • ITSC件数:ITSCが評価を実施し、日本の認証機関により新規認証された件数(ソフトウェア)
  • 全件数:日本の認証機関が発行した、全評価機関による新規認証の件数(ソフトウェア)

評価保証レベル(EAL)

ISO/IEC15408における保証要件は評価保証レベル (EAL: Evaluation Assurance Level) により7段階(EAL1~EAL7)に分類されています。
評価対象 (TOE: Target of Evaluation) の保護資産の価値やセキュリティ機能に要求される信頼度によってEALを選択します。EALは評価対象の検証がどの程度まで行われたかを示す尺度です。
一般に商用ではEAL4が最高レベルと言われており、ITSCでもEAL4まで評価が実施可能です。

IT製品の開発工程と評価作業の関係

下図はIT製品の開発から出荷・導入までの工程とISO/IEC15408に準拠した評価作業の関係を示しています。

上図中の「ASE」クラス、「ADV」クラス等のAで始まる3文字のクラス名称はISO/IEC15408において、保証要件を識別するクラス(保証クラス)です。セキュリティ評価では、評価機関はこれらの保証クラスで規定された要件に合致していることを検証します。

主な保証クラスの概要を下記に示します。どの保証クラスまで検査を行うかはEALによって異なります。
認証を希望されているIT製品に適切なEALが不明な方は、ITSCにご相談ください。

APEクラスプロテクションプロファイル評価
PPが正しく記述されていることを検査する。
ASEクラスセキュリティターゲット評価
STが正しく記述されていることを検査する。
ADVクラス開発
STに従って機能仕様書、サブシステム設計書等の開発設計書が正しく記述されていることを検査する。
AGDクラスガイダンス文書
TOEをセキュアな状態で使用するために必要な事項がマニュアルとして記述されていることを検査する。
ALCクラスライフサイクルサポート
開発から保守に使用する手続きがセキュアで適切に行われたことを検証する。
ATEクラステスト
TOEがSTでの記述に従って、及び、開発設計書の仕様に従ってふるまうかどうかを、開発者自身の機能テストと評価者による独立テストにより検証する。
AVAクラス脆弱性評定
運用環境でのTOEのセキュリティ上の欠陥または弱点が悪用される可能性について確認し、問題のないレベルであることを検証する。

お問い合わせ

ITセキュリティ評価についてのお問い合わせは、電話またはお問い合わせ窓口をご利用ください。

▲ このページのTOPに戻る
お問い合わせ お問い合わせ >