• FAQ
• サイトマップ

• ホーム
• ITSCとは
• 業務概要
• 教育受講者募集のご案内
• 公開情報/コラム
• お問い合わせ

セキュリティ評価

評価保証レベル (EAL)

ISO/IEC15408における保証要件は評価保証レベル (EAL: Evaluation Assurance Level) により7段階(EAL1~EAL7)に分類されています。評価対象 (TOE: Target of Evaluation) の保護資産の価値やセキュリティ機能に要求される信頼度によってEALを選択します。EALは評価対象の検証がどの程度まで行われたかを示す尺度です。一般に商用ではEAL4が最高レベルと言われています。
参考：パート3：セキュリティ保証コンポーネント改定第2版[翻訳第2.0版]

CCRA(Common Criteria Recognition Arrangement)

ITセキュリティ評価及び認証制度（JISEC：Japan Information Technology Security Evaluation and Certification Scheme）で認証された製品はCCRA加盟国間で相互に通用します。CCRA加盟国のうち国内に認証制度を持つ国は認証国（Certificate Authorizing）と呼ばれ、認証制度は持たないが認証国で認証された製品を受け入れる国は認証受入国（Certificate Consuming）と呼ばれます。
2009年10月5日付でイタリアが認証国として承認された結果、認証国14カ国、認証受入国12カ国です。
認証された製品をCCRAに登録するとCCRAの製品リストに掲載されます。製品リストに掲載されている認証製品は2009年9月現在で1,146製品です。

参照: Common Criteria Portal CCRA members

ISO/IEC15408に準拠したIT製品/システム評価の実績

IT製品/システムがセキュリティ認証書を取得するためには、独立行政法人製品評価技術基盤機構（NITE）から認定された評価機関により、評価を受ける必要があります。

ITセキュリティセンターの前身である社団法人電子情報技術産業協会(JEITA) ITSCは、日本で初めてNITEから評価認証レベルEAL4の認定を受けた評価機関です。ISO/IEC15408に準拠したIT製品/システムの評価業務において数多くの実績があり、最近6年間にTOEに関するセキュリティ評価の結果認証を取得した件数は、日本の全認証件数の約50％を占めています。

注)
年度：平成で表示
ITSC件数(上段)：ITSCが評価実施し、日本の認証機関により新規認証された件数
全件数(下段)：日本の認証機関が発行した、全評価機関による新規認証の件数

IT製品の開発工程と評価作業の関係

下図はIT製品の開発から出荷・導入までの工程とISO/IEC15408に準拠した評価作業の関係を示しています。

上図中の「ASE」クラス、「ADV」クラス等のAで始まる3文字のクラス名称はISO/IEC15408において、保証要件を識別するクラス（保証クラス）です。セキュリティ評価では、評価機関はこれらの保証クラスで規定された要件に合致していることを検証します。

主な保証クラスの概要を下記に示します。どの保証クラスまで検査を行うかはEALによって異なります。

IT製品／システム評価をご要望の節は、お問い合わせ窓口からご連絡ください。