筆者らは,情報技術セキュリティの評価基準であるCommon Criteria(CC)に関して,評価機関,ベンダ,研究者が集まる国際会議に出席した.同会議において2014年9月8日付で,本評価基準に基づく評価結果を相互に承認する国際的なアレンジメントであるCC承認アレンジメントの改訂版発効が発表された. 新しいアレンジメントに基づき,今後CC承認アレンジメント(CCRA)加盟各国が製品ベンダや評価機関,研究者と協力し技術分野ごとに共通のPP(cPP: Collaborative PP)を開発するとともに,加盟各国の政府調達でのcPP活用を促進することが新たに宣言された.本稿では, CC について,①CCとは何か? ②CCにおける認証制度はどのようになっているのか? ③本会議で発表されたcPP活用により,国際社会におけるCCはどのように変わっていくと想定できるのかについて,所見を述べたい.

1.はじめに

コモンクライテリアって何の評価基準?
→ITセキュリティ評価基準

 IT製品・システムの安全性を保証することは難しい.利用者は当然,安全にIT製品・システムを利用できることを望む.安全なIT製品・システムの安全機能はセキュリティ機能と呼ばれ,個人情報や機密情報を窃取されたり,システムの稼働を妨害されたりすることがないように管理する機能である.セキュリティ機能には①動作しないことはない②不当な干渉をうけることはない③動作不能に陥ることはないことが要求される[1].

 一般のIT機能であれば,利用者はその機能について,実際に利用してみることで保証されていることを確認できる.セキュリティ機能については,不測の事態を発生させてセキュリティ機能が正確かつ有効に動くことを確認することが必要だが,これは利用者には非常に困難である.そのため,開発者側で,IT製品・システムの安全性を確認しなければならない.

 セキュリティ機能が間違いなく動作することの確からしさを「セキュリティ保証」と呼ぶ.このセキュリティ保証を確認するのが,「ITセキュリティ評価」である.この「ITセキュリティ評価」のための確認手法はISO規格として,国際規格になっている.この国際規格のITセキュリティ評価基準がCC(Common Criteria:ISO/IEC 15408)である[2], [3] .

 また国家レベルで,第三者による確認の制度と確認結果を国際的に認め合う相互承認制度も確立されている.

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら