ポイント:ISO/IEC15408、コモンクライテリア、情報技術セキュリティ評価基準、セキュリティ対策、JIS X 5070
ISO/IEC15408に関しての第一歩
ISO/IEC15408って何?
昨日のつぶやきブログにも書いたがISO/IEC15408(CC:コモンクライテリア)に関して、情報収集中である。場合によっては即、実践で使う事になるかもしれないので、情報収集中のスピードをアップさせないといけない。まずはISO/IEC15408とは何かを、コラムに書いてみたいと思う。
ISO/IEC15408に関しては、アマゾンとかで関連本を調べても3冊程度しか出てこない。名古屋で大きいという本屋へ行っても在庫は0。つまり情報収集の手段がほとんどないのである。そんな中で頼りになるのは、IPA(情報処理推進機構)のサイトやパンフレットである。まずは最初の理解の段階では、これがとても役に立った。
では、本論に入って、ISO/IEC15408って何?と話であるが、IPAのサイトでは、以下のような説明がある。
「ISO/IEC15408」とは、情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格です。
正式名は、「ISO/IEC15408 情報技術セキュリティ評価基準」です。 1999 年6月に国際標準規格として承認され、 2000 年7月には JIS 標準( JIS X 5070 )として制定されました。
情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するという箇所が重要である。当然、評価した後には、それを認証する制度がある。
ISO/IEC15408の必要性
このように情報セキュリティの国際標準である「ISO/IEC15408」の考え方を導入することにより、適切なセキュリティレベルのIT製品・システムを効率的に発注・開発する事が可能となる。また、「ISO/IEC15408」評価認証機関により、セキュリティ機能が@性格に実装され、A有効に働くことが確認されていれば、ユーザーとメーカーにそれぞれメリットがある。
まず、ユーザー側のメリットは国際標準に適合した認証済みIT製品・システムを使用することによる安心感である。デジタル複合機やICカード、ファイアオール、DBMS、OS、業務アプリケーションなどのIT製品・システムが対象とされている。これらを導入する際に安心が保証される。
一方の開発側であるが、先にあげたIT製品・システムを開発する際にどこまでセキュリティ対策をすれば良いのか、個々にセキュリティを考えるのは不安である・・・などの悩みがある。しかし、「ISO/IEC15408」の考え方を導入することにより、それらの不安が軽減され、安全の高い国際標準に基づく認証済みIT製品・システムの提供が可能となる。それは同時にユーザへアピールする事により他社との差別化、競争力強化につながる。
ユーザーとメーカーにそれぞれメリットがあるということは、ISO/IEC 15408 は、情報技術セキュリティに関連した製品やシステムの開発者だけでなく、製品を導入・利用するユーザ、製品やシステムの評価者などに、ぜひ知っておいて頂きたい規格であると言える。
ISO15408とISO17799
私が、ISO15408の存在を知った時、一番良くわからなかったのが、情報セキュリティマネジメントシステムであるISO17799との違いである。それは、ISO/IEC15408の適用範囲をみて、理解ができた。再びIPAのサイトでISO/IEC15408適用範囲の説明を読んでみると以下のような説明がある。
ISO/IEC15408 は、情報技術を用いた製品やシステムのセキュリティ機能を対象としています。ソフトウェアだけでなく、ハードウェア、ファームウェア、あるいは、システム全体も評価対象となります。また、製品の形態としては、ファイアウォールのように、直接セキュリティに関係する機能を提供する製品に限らず、オペレーティングシステム、データベース、あるいはグループウェアなど、保護すべき資源を保有する製品はすべて評価対象となります。
この規格では、セキュリティ機能の技術的な対策や実装、開発におけるプロセスなどを扱い、評価の対象とします。製品やシステムを利用する際のセキュリティ教育やセキュリティ監査といった組織上の運用や管理などは、使用上の前提条件として扱われ、評価の対象とはなりません。
つまり、2つを比べると以下のようになる。
ISO15408は「ITセキュリティの国際評価基準」である。 製品・システムで実現すべきセキュリティ技術の基準、およびその実装を保証するための国際評価基準。ネットワーク化・分散化とともに高まるセキュリティの重要性、そのニーズに応じ国際標準化された基準である。
ISO17799は「情報セキュリティの管理実施基準」である。 電子データとは限らない情報資産一般を対象に、包括的に管理・運用面の具体的な基準(ベストプラクティス)を示したガイドラインで、英国規格BS7799パート1「セキュリティ管理実施基準」を国際標準化したものである。
もっと簡単に言うと、ISO15408はIT製品・システムそのものに対するセキュリティ基準であり、ISO17799は情報資産一般をマネジメントするセキュリティ基準といえると思う。
参考
「ITセキュリティ評価及び認証制度(JISEC)」
「HITACHI セキュアプラザ」
関連コラム
IT投資促進税制から情報基盤強化税制へ 2006年02月27日記述
IT減税の年度内廃止について思う事 2005年11月27日記述
ISO/IEC15408に関しての第一歩 2005年11月21日記述
IT投資促進税制について 2004年11月22日記述
2005年11月21日 宿澤直正 記
Copyright (C) 2005 宿澤経営情報事務所