ISO/IEC 15408は、「Common Criteria for Information Technology Security Evaluation」とも呼ばれる国際標準規格で、情報技術(IT)製品やシステムのセキュリティ評価のための基準を提供します。この規格は、セキュリティ機能の設計、実装、および評価のためのフレームワークを提供し、セキュリティアシュアランスのレベルを確立するために用いられます。
### ISO/IEC 15408の概要
#### 1. **目的**
ISO/IEC 15408は、IT製品やシステムのセキュリティ特性を評価し、信頼性のあるセキュリティ保証を提供することを目的としています。この標準規格は、製品の開発者、評価者、および顧客が共通の理解とフレームワークを持つことを促進します。
#### 2. **構成**
ISO/IEC 15408は以下の3つのパートで構成されています:
1. **Part 1: Introduction and General Model**
- 概要と一般的な概念、用語の定義、およびセキュリティ評価の基本モデルが記載されています。
2. **Part 2: Security Functional Requirements**
- セキュリティ機能要件が詳細に記述されています。これには、認証、アクセス制御、監査、暗号化などの機能が含まれます。
3. **Part 3: Security Assurance Requirements**
- セキュリティ保証要件が詳細に記述されています。これは、開発プロセス、ライフサイクルサポート、テスト、評価手法などの観点からの保証を含みます。
### 主要概念
#### 1. **保護プロファイル (Protection Profile, PP)**
保護プロファイルは、特定のセキュリティ問題に対応するために必要なセキュリティ機能と保証要件を定義した文書です。PPは、特定の環境や用途に対するセキュリティ要件を一般的に記述したものです。
#### 2. **セキュリティターゲット (Security Target, ST)**
セキュリティターゲットは、特定の製品やシステムのセキュリティ機能と保証要件を詳細に記述した文書です。STは、PPに基づいて作成されることが多く、製品ごとに特化した要件が含まれます。
#### 3. **評価アシュアランスレベル (Evaluation Assurance Levels, EAL)**
EALは、製品やシステムのセキュリティ保証の深さと厳密さを示す尺度で、EAL1からEAL7までの7つのレベルがあります。EALが高くなるほど、セキュリティ評価が厳密になり、より高い保証が提供されます。
### 利用シナリオ
1. **製品開発者**
- 開発者はISO/IEC 15408を利用して、製品のセキュリティ要件を明確にし、開発プロセスにおいて適切なセキュリティ機能を実装します。
2. **評価者**
- 評価者は、この基準に基づいて製品やシステムのセキュリティ評価を行い、製品が定められたセキュリティ要件を満たしているかどうかを確認します。
3. **顧客**
- 顧客は、ISO/IEC 15408に基づく評価結果を参考にして、信頼性のあるセキュリティ製品を選択することができます。
### 具体例
例えば、銀行のオンラインバンキングシステムのセキュリティ評価を行う場合、ISO/IEC 15408に基づいて、システムの認証機能、トランザクションの暗号化、監査ログの記録と保護などのセキュリティ機能が評価されます。この評価によって、システムが設定されたセキュリティ要件を満たしていることが確認されます。
### まとめ
ISO/IEC 15408は、IT製品やシステムのセキュリティ評価のための包括的なフレームワークを提供し、製品の信頼性と安全性を確保するための基準を示しています。これにより、開発者、評価者、および顧客が共通の基準を持ち、信頼性のあるセキュリティ製品の開発と選定を支援します。
最終更新:2024年07月25日 17:34
