ホーム > 業務概要 > セキュリティ評価

セキュリティ評価

統一基準

統一基準は「政府機関の情報セキュリティ対策の強化に関する基本方針(平成17年9月15日付情報セキュリティ政策会議決定)」に基づき、政府機関における統一的な枠組みの中で、それぞれの府省庁が情報セキュリティの確保のために採るべき対策、及びその水準を高めるための基準です。

評価保証レベル (EAL)

ISO/IEC15408における保証要件は評価保証レベル (EAL: Evaluation Assurance Level) により7段階(EAL1~EAL7)に分類されています。評価対象 (TOE: Target of Evaluation) の保護資産の価値やセキュリティ機能に要求される信頼度によってEALを選択します。EALは評価対象の検証がどの程度まで行われたかを示す尺度です。一般に商用ではEAL4が最高レベルと言われています。
参考:

CCRA(Common Criteria Recognition Arrangement)

ITセキュリティ評価及び認証制度(JISEC:Japan Information Technology Security Evaluation and Certification Scheme)で認証された製品はCCRA加盟国間で相互に通用します。CCRA加盟国のうち国内に認証制度を持つ国は認証国(Certificate Authorizing)と呼ばれ、認証制度は持たないが認証国で認証された製品を受け入れる国は認証受入国(Certificate Consuming)と呼ばれます。
認証国17カ国、認証受入国10カ国です。
認証された製品をCCRAに登録するとCCRAの製品リストに掲載されます。

●認証国と認証受入国(2017年1月現在)
認証国 (CAP) オーストラリア
ニュージーランド
カナダ
フランス
ドイツ
イギリス
イタリア
インド
アメリカ
日本
韓国
オランダ
ノルウェー
スペイン
スウェーデン
トルコ
マレーシア
認証受入国 (CCP) オーストリア
チェコ
デンマーク
フィンランド
ギリシャ
ハンガリー
イスラエル
パキスタン
シンガポール
カタール

参照: Common Criteria Portal CCRA members

ISO/IEC15408に準拠したIT製品/システム評価の実績

IT製品/システムがセキュリティ認証書を取得するためには、独立行政法人製品評価技術基盤機構(NITE)から認定された評価機関により、評価を受ける必要があります。

ITセキュリティセンターの前身である社団法人電子情報技術産業協会(JEITA) ITSCは、日本で初めてNITEから評価認証レベルEAL4の認定を受けた評価機関です。ISO/IEC15408に準拠したIT製品/システムの評価業務において数多くの実績があり、最近6年間でITSCがセキュリティ評価を行い、その結果に基づいて認証を取得した件数は、日本の全認証件数の約43%を占めています。

年度

~2007200820092010201120122013201420152016合計
ITSC件数 75 26 17 12 24 15 7 16 14 9 215
全件数 150 59 42 35 56 38 36 36 37 29 518

注)
・ITSC件数(上段):ITSCが評価を実施し、日本の認証機関により新規認証された件数
・全件数(下段):日本の認証機関が発行した、全評価機関による新規認証の件数
・2016年度は2016年12月末日現在の件数

IT製品の開発工程と評価作業の関係

下図はIT製品の開発から出荷・導入までの工程とISO/IEC15408に準拠した評価作業の関係を示しています。

IT製品の開発工程と評価作業の関係

上図中の「ASE」クラス、「ADV」クラス等のAで始まる3文字のクラス名称はISO/IEC15408において、保証要件を識別するクラス(保証クラス)です。セキュリティ評価では、評価機関はこれらの保証クラスで規定された要件に合致していることを検証します。

主な保証クラスの概要を下記に示します。どの保証クラスまで検査を行うかはEALによって異なります。

APEクラス プロテクションプロファイル評価
PPが正しく記述されていることを検査する。
ASEクラス セキュリティターゲット評価
STが正しく記述されていることを検査する。
ADVクラス 開発
STに従って機能仕様書、サブシステム設計書等の開発設計書が正しく記述されていることを検査する。
AGDクラス ガイダンス文書
TOEをセキュアな状態で使用するために必要な事項がマニュアルとして記述されていることを検査する。
ALCクラス ライフサイクルサポート
開発から保守に使用する手続きがセキュアで適切に行われたことを検証する。
ATEクラス テスト
TOEがSTでの記述に従って、及び、開発設計書の仕様に従ってふるまうかどうかを、開発者自身の機能テストと評価者による独立テストにより検証する。
AVAクラス 脆弱性評定
運用環境でのTOEのセキュリティ上の欠陥または弱点が悪用される可能性について確認し、問題のないレベルであることを検証する。

IT製品/システム評価をご要望の節は、お問い合わせ窓口からご連絡ください。


注目ワード> ISO/IEC15408 コモンクライテリア JISEC 電子政府推奨暗号リスト JCMVP  FIPS140 CMVP/CAVP
Copyright (C) 2007-2017 Information Technology Security Center. All Rights Reserved