コモンクライテリアとは|サイバーセキュリティ.com

コモンクライテリア|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. コモンクライテリア
             

コモンクライテリア

コモンクライテリア(Common Criteria:CC)とは、情報技術(IT)製品やシステムのセキュリティ評価基準を国際標準化したもので、正式名称をISO/IEC 15408といいます。コモンクライテリアは、IT製品やシステムが、特定のセキュリティ要件を満たしているかを評価するための基準を提供し、その製品の信頼性を第三者が認証する仕組みを整えています。これは、政府や企業がIT製品のセキュリティを検証し、導入時のリスクを軽減するために広く利用されています。

コモンクライテリアは、セキュリティ要求の定義評価の手順を標準化しており、セキュリティ製品の設計、評価、認証を行う際に利用されます。評価結果は「評価保証レベル(EAL)」として定義され、EALのレベルが高いほど厳格なセキュリティ検証をクリアしていることを示します。

コモンクライテリアの概要

コモンクライテリアは、以下の要素を基に構成されています:

  1. 保護プロファイル(PP:Protection Profile)
    特定のIT製品やシステムが満たすべきセキュリティ要件の概要を示します。PPは、製品やシステムがどういった脅威に対してどのようなセキュリティ機能を提供する必要があるかを示し、特定の使用ケースに適した基準を提供します。
  2. セキュリティターゲット(ST:Security Target)
    評価対象製品の開発者が作成する文書で、評価の対象となる製品やシステムの具体的なセキュリティ要件を定義します。STには、製品が対応する脅威や提供するセキュリティ機能、そして評価に必要な基準が記載されます。
  3. 評価保証レベル(EAL:Evaluation Assurance Level)
    IT製品やシステムがどの程度のセキュリティ評価をクリアしているかを示す指標で、EAL1からEAL7までの7段階に分けられています。EALのレベルが上がるほど評価は厳密で、セキュリティ保証が高まります。EAL4は「実用性」と「セキュリティ」が両立したバランスの取れた評価レベルとされ、最も一般的に利用されています。
  4. 評価機関と認証機関
    コモンクライテリアの評価は、認定された評価機関が行い、最終的な認証を行うのは政府や公的機関が指定する認証機関です。認証機関は評価機関によるテスト結果を審査し、基準に適合しているかどうかを判断します。

評価保証レベル(EAL)の詳細

EAL(評価保証レベル)は、評価の厳格さを示し、EAL1からEAL7までの7段階が設けられています。以下は各EALの概要です:

  • EAL1:機能テストレベル
    基本的なテストのみを行い、実際の動作を確認する最も低い保証レベル。特定の信頼性が求められないシステム向け。
  • EAL2:構造化テストレベル
    開発段階での構造化されたテストが実施され、比較的低いコストで適用できる保証レベル。既存システムにおけるセキュリティ評価向け。
  • EAL3:体系的テストとチェック
    体系的なテストと開発環境の評価を行い、セキュリティ機能の実装が十分であることを確認するレベル。低~中程度の信頼性が求められるシステム向け。
  • EAL4:体系的設計、テスト、レビュー
    実用性とセキュリティのバランスが取れたレベルで、多くの商用システムで採用。中程度の保証が求められる場合に使用される。
  • EAL5:セキュリティ保証の向上
    設計段階からセキュリティ強化を重視し、徹底的なテストが行われるレベル。高い保証を必要とするシステム向け。
  • EAL6:セキュリティ保証の強化
    高度なセキュリティ要件が必要な状況で、設計と実装の両方に対して厳密な評価が行われる。国家機密など、極めて高い保証が必要なシステム向け。
  • EAL7:厳密な設計、テスト
    最も厳格なレベルで、詳細な設計と徹底したテストに基づき、非常に高い保証を提供。最高機密レベルのシステム向けに用いられることが多い。

コモンクライテリアの適用例

コモンクライテリアは、さまざまな分野でIT製品やシステムのセキュリティを検証するために利用されています。以下はその主な例です:

  • 政府機関のシステム
    国家機密や公共サービスを提供するシステムで、セキュリティ要件が厳格に求められるため、コモンクライテリアを基にした評価と認証が行われます。
  • 金融機関のセキュリティ製品
    金融取引のシステムやATM、インターネットバンキングで使用されるセキュリティソリューションにおいて、信頼性の高い評価を受けるため、EAL4以上の認証が多く用いられます。
  • 商用セキュリティ製品
    ファイアウォールやウイルス対策ソフト、暗号化デバイス、セキュリティソフトウェアなど、商用セキュリティ製品もコモンクライテリアに基づいた評価を受けることで、ユーザーに対して高い信頼性を提供します。

コモンクライテリアのメリット

コモンクライテリアによる評価と認証には以下のようなメリットがあります:

  1. セキュリティ保証の明確化
    コモンクライテリアの評価結果に基づいて製品の信頼性を確認できるため、導入先の組織や企業は製品選定時にセキュリティリスクを軽減できます。
  2. 国際的な互換性
    コモンクライテリアは国際的に標準化された評価基準であり、CC認証を受けた製品は世界中で信頼できる製品として認識されます。異なる国や組織間でも共通の基準で製品が評価されるため、互換性が確保されています。
  3. セキュリティ要件の具体化と標準化
    コモンクライテリアを基にした評価により、製品開発段階で具体的なセキュリティ要件を明確にすることができ、製品の設計や開発が効率化されます。

コモンクライテリアの課題とデメリット

一方で、コモンクライテリアには以下のような課題やデメリットもあります:

  1. 評価コストの高さ
    高いEALレベルの認証を取得するためには、徹底したテストと第三者機関による評価が必要であり、開発コストが大幅に増加します。
  2. 評価期間の長さ
    厳格な評価プロセスが求められるため、認証までに時間がかかり、製品の市場投入が遅れる可能性があります。
  3. 適用範囲の限界
    コモンクライテリアは一度取得した認証後のシステムやソフトウェアの変更に対応できない場合があり、継続的に更新されるIT環境には適応が難しいことがあります。

関連コラム(あわせて、以下の記事もよく読まれています)

No related posts.

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。