コモンクライテリア(Common Criteria、CC)は、情報技術分野におけるセキュリティ評価の国際基準です。情報機器やシステムが提供するセキュリティ機能を評価し、認証するための枠組みを提供します。本記事では、コモンクライテリアの概要、評価基準、評価プロセス、およびその重要性について詳しく解説します。特に、ISO/IEC 15408やJIS X 5070といった関連規格との関係についても触れ、企業や機関がどのようにコモンクライテリアを活用できるかに焦点を当てます。
内容:
コモンクライテリア(CC)とは?
コモンクライテリア(CC)は、情報システムやIT機器のセキュリティを評価するための国際的な基準であり、主にISO/IEC 15408としても知られています。日本では、これに相当する規格としてJIS X 5070が定められています。これらの基準は、セキュリティ機能や信頼性を評価するための枠組みを提供し、情報システムやソフトウェア、ハードウェアの設計から開発、運用に至るまで、セキュリティを確保するための要素を網羅的にチェックします。
コモンクライテリアの評価基準とプロセス
コモンクライテリアの評価は、**EAL(評価保証レベル)**によって詳細に定義されます。EALは評価の深さや厳格さを示す7段階のレベルで構成されています。最も簡易的な評価が行われるEAL1から、厳格な形式的検証やテストが行われるEAL7まで、機能テストのみを行う低コストのものから、コストは高いが最も詳細な評価まで、幅広い選択肢が提供されています。
- EAL1: 最も簡易な評価レベル。基本的な機能テストが行われ、低コストで評価されます。
- EAL4: 設計段階のテストや分析が行われるレベルで、商業製品に多く採用されています。
- EAL7: 最も厳格な評価レベルで、形式的検証や詳細なテストが要求されます。軍事や高セキュリティが求められるシステムに適用されます。
CEM(共通評価方法)とその役割
コモンクライテリアの評価は、**CEM(Common Evaluation Methodology)**という評価方法に従って行われます。CEMは、評価機関間での評価方法の統一を図るために定められており、ISO/IEC 18045として標準化されています。これにより、異なる評価機関で評価された結果が一貫性を持つことが保証され、評価基準の信頼性が高まります。
コモンクライテリアの国際認証と相互承認
コモンクライテリアの評価結果は、**CCRA(Common Criteria Recognition Arrangement)**という国際協定に基づき、他の締結国でも有効となります。これにより、例えば日本で認証された製品は、アメリカやヨーロッパなどの国々でも同じ基準で評価され、認証結果が認められることになります。約20か国が相互承認を行っており、さらに、英国などの約10か国は受入国として他国の認証結果を受け入れる体制を整えています。
企業におけるコモンクライテリアの活用
企業や組織にとって、コモンクライテリアによるセキュリティ評価は、信頼性や安全性を証明する重要な手段となります。特に、製品やサービスが厳しいセキュリティ要件を満たしていることを示すために、この認証を取得することが求められる場合があります。例えば、金融機関や政府機関向けのソフトウェアやシステム、あるいは情報通信機器が、コモンクライテリアの評価基準を満たしていることで、より高い信頼性を獲得できます。
まとめ:
コモンクライテリア(CC)は、情報システムやIT機器のセキュリティ評価を行うための国際的な基準であり、その評価結果は世界中で認められることが特徴です。
EAL(評価保証レベル)やCEM(共通評価方法)といった評価プロセスを通じて、製品やシステムのセキュリティが詳細に検証されます。
また、CCRAによる国際的な認証相互承認が、グローバルなセキュリティ基準の一貫性を保つための大きな役割を果たしています。
企業にとっては、コモンクライテリアを活用することで、製品やサービスの信頼性を証明し、競争力を高めることができます。
このように、コモンクライテリアはITセキュリティにおける重要な基準であり、企業の製品やシステムが国際的に認められたセキュリティを提供していることを示すための強力なツールとなります。