ISO/IEC 15408(Common Criteria:CC)は、IT製品とシステムの両方を評価対象にしているものの、現在の規格は製品への適用を指向している傾向が強く、また評価実績もその大部分が製品であり、システムに対する評価はほとんど実施されていない現状がある。システムは複数の製品の集合体であり、運用環境が日々変化することや、ITセキュリティ機能とあわせて人の振舞いが資産保護に大きく影響するなど、製品とは異なる要素が数多く含まれているために、現行の規格にシステム的要素を加えた新たな評価技術を確立する必要がある。
システムに対する国際標準のセキュリティ評価基準は、ISO/IEC 19791と呼ばれ、標準化への作業が進められている。その一環としてJEITA ITセキュリティセンターでは、実際に稼動する運用システムをモデルとしたパイロット評価を実施する。本講演では運用システムをパイロット評価した経験から、主にシステムセキュリティターゲット(SST)を対象に、製品STとの違いを中心としたSSTを作成する上でのポイント、システムの評価保証レベル(EAL)の考え方、及び効率的な評価への取り組み方法を提案する。