• FAQ
• サイトマップ

• ホーム
• ITSCとは
• 業務概要
• セキュリティガイダンス
• 公開情報/コラム
• お問い合わせ

セキュリティ評価

統一基準

統一基準は「政府機関の情報セキュリティ対策の強化に関する基本方針（平成１７年９月１５日付情報セキュリティ政策会議決定）」に基づき、政府機関における統一的な枠組みの中で、それぞれの府省庁が情報セキュリティの確保のために採るべき対策、及びその水準を高めるための基準です。

評価保証レベル (EAL)

ISO/IEC15408における保証要件は評価保証レベル (EAL: Evaluation Assurance Level) により7段階(EAL1~EAL7)に分類されています。評価対象 (TOE: Target of Evaluation) の保護資産の価値やセキュリティ機能に要求される信頼度によってEALを選択します。EALは評価対象の検証がどの程度まで行われたかを示す尺度です。一般に商用ではEAL4が最高レベルと言われています。
参考：

CCRA(Common Criteria Recognition Arrangement)

ITセキュリティ評価及び認証制度（JISEC：Japan Information Technology Security Evaluation and Certification Scheme）で認証された製品はCCRA加盟国間で相互に通用します。CCRA加盟国のうち国内に認証制度を持つ国は認証国（Certificate Authorizing）と呼ばれ、認証制度は持たないが認証国で認証された製品を受け入れる国は認証受入国（Certificate Consuming）と呼ばれます。
2011年9月25日付でマレーシアが認証国として承認された結果、認証国16カ国、認証受入国10カ国です。
認証された製品をCCRAに登録するとCCRAの製品リストに掲載されます。製品リストに掲載されている認証製品は2010年11月現在で1,272製品です。

参照: Common Criteria Portal CCRA members

ISO/IEC15408に準拠したIT製品/システム評価の実績

IT製品/システムがセキュリティ認証書を取得するためには、独立行政法人製品評価技術基盤機構（NITE）から認定された評価機関により、評価を受ける必要があります。

ITセキュリティセンターの前身である社団法人電子情報技術産業協会(JEITA) ITSCは、日本で初めてNITEから評価認証レベルEAL4の認定を受けた評価機関です。ISO/IEC15408に準拠したIT製品/システムの評価業務において数多くの実績があり、最近6年間にTOEに関するセキュリティ評価の結果認証を取得した件数は、日本の全認証件数の約50％を占めています。

注)
・年度：平成で表示
・ITSC件数(上段)：ITSCが評価実施し、日本の認証機関により新規認証された件数
・全件数(下段)：日本の認証機関が発行した、全評価機関による新規認証の件数
・23年度は8月15日現在の件数

IT製品の開発工程と評価作業の関係

下図はIT製品の開発から出荷・導入までの工程とISO/IEC15408に準拠した評価作業の関係を示しています。

上図中の「ASE」クラス、「ADV」クラス等のAで始まる3文字のクラス名称はISO/IEC15408において、保証要件を識別するクラス（保証クラス）です。セキュリティ評価では、評価機関はこれらの保証クラスで規定された要件に合致していることを検証します。

主な保証クラスの概要を下記に示します。どの保証クラスまで検査を行うかはEALによって異なります。

IT製品／システム評価をご要望の節は、お問い合わせ窓口からご連絡ください。