コモンクライテリア(Common Criteria, CC)は、情報機器や情報システムのセキュリティを評価するための国際規格です。
この規格は、情報セキュリティの確保における信頼性や機能を評価する枠組みを提供します。
本記事では、コモンクライテリアの概要、評価プロセス、及びその重要性について詳しく解説します。
コモンクライテリアの概要
1. 定義と目的
コモンクライテリアは、IT機器やソフトウェア、それらを統合した情報システムのセキュリティを評価するための基準です。
特に、日本では「情報技術セキュリティの評価基準」(JIS X 5070)として規格化されています。
この基準により、機器やシステムのセキュリティ機能がどの程度信頼できるかを評価します。
2. EAL(Evaluation Assurance Level)
評価の詳細度は「EAL」と呼ばれる保証レベルで示されます。
EALは1から7までの7段階に分かれており、以下のように区分されています。
- EAL1: 機能テストを行う最も簡易な評価
- EAL2: もう少し厳密な評価を行う
- EAL3: 機能の信頼性をさらに確認
- EAL4: 設計と開発の厳密な評価
- EAL5-7: より高度な形式的検証を伴う評価(コストも高い)
評価プロセス
1. 認証機関と評価機関
コモンクライテリアに基づく評価は、各国の認証機関によって認定された評価機関が実施します。
日本では、情報処理推進機構がこの役割を担っています。
評価機関は、評価手法や判断基準について一定の指針を示した「CEM」(Common Evaluation Methodology)に従います。
2. 国際的な承認
評価結果は、CCRA(Common Criteria Recognition Arrangement)と呼ばれる国際協定に基づいて他国でも有効となります。
これにより、日本やアメリカなど約20カ国が相互に評価を承認しています。
コモンクライテリアの重要性
1. セキュリティ確保の信頼性
コモンクライテリアは、情報機器やシステムの信頼性を確保するための重要な指標です。
特に、政府機関や企業においては、高いEALを取得することで、顧客や取引先からの信頼を得ることができます。
2. 市場競争力の向上
高い評価を受けた製品は、競争が激しい市場での優位性を持つことになります。
特にセキュリティが重要視される分野においては、コモンクライテリアによる認証が競争力を高める要素となります。
まとめ
コモンクライテリア(CC)は、情報セキュリティを評価するための国際規格であり、その重要性はますます高まっています。
EALに基づく評価は、機器やシステムの信頼性を確保し、国際的な承認を得るための鍵となります。
IT業界において、コモンクライテリアの理解と適用は、企業や製品の競争力を向上させる重要な要素となるでしょう。
さらに参考してください。