Q1-1．セキュリティ評価・認証制度とは？

A1-1：
IT製品の有するセキュリティ機能について、宣言された脅威に対し適切な対抗となっていること、またその対抗手段が正確に実装されていることを、第三者が評価･認証を行う制度です。概要については、評価認証制度概要（JISEC）をご参照ください。

また、歴史的経緯については、こちらのページをご参照ください。

Q1-2．ISO/IEC 15408とは？

A1-2：
セキュリティ評価･認証制度などでセキュリティ評価を行うための共通的な評価基準を定めたものです。情報資産を保有するIT製品や情報システムのセキュリティを確保する観点から、 セキュリティに関する評価・認証を受けた製品等の利用を進めるために、 ITセキュリティ評価のための国際的な共通基準として用いられています。

最新のCCは、こちらのページで公開しております。

Q1-3．ISO/IEC 15408に対応するJIS規格について

A1-3：
ISO/IEC 15408:1999 に対応する日本国内標準としてJIS X 5070 が 2000年 7月に制定されています。ただし、両規格共、現在使用することはできません。

注：　両者の規定内容は、同一のものとなっています。JIS X 5070で は、Part 1を完全な日本語翻訳とし、 Part 2 及び Part 3 については、本体部分を原文の英語のままとした要約形式として発行されています。

Q1-4．ISO/IEC 15408、Common Criteria(CC)の関係は？

A1-4：
CCを規格化しているCCRA(Q1-7参照)とISO/IEC 15408の標準化を担当する ISO/IEC JTC1/SC27/WG3とは協力関係にあり、現在CCの規格を元にISO/IEC 15408の作成が行われています。よって、CCと ISO/IEC15408のリリース時期やバージョンは厳密には一致しませんが、一般的にセキュリティ評価基準を示す用語としては、CCもISO/IEC15408も同じ意味として使用されます。

Q1-5．TCSEC、ITSECとの関係は？

A1-5：
TCSEC とは、米国国防総省下の NSA(国家安全保障局)内の NCSC(米国コンピュータセキュリティセンター)により、 軍用調達のためのコンピュータ製品評価基準として1983年に作成(1985年に改定)され、欧州の ITSEC や CC の開発に影響を与えました。 レインボーシリーズの一つとして発行され、表紙の色がオレンジ色であったことから通称「オレンジブック」とも呼ばれています。

ITSEC とは、Information Technology Security Evaluation Criteria の略で、英国、ドイツ、フランス、オランダの4ヶ国が 欧州統一評価基準として開発し、1991年6月に公開されたV1.2から運用が開始されました。

CCとTCSEC及びITSECとの保証レベルの関係は以下のようになります。

詳細については、こちらのページをご覧ください。

Q1-6．ISO/IEC 27001(JIS Q 27001、BS7799-2)に基づく情報セキュリティマネジメントシステム(ISMS)適合性評価制度との関係は？

A1-6：
それぞれ独立した制度です。ISO/IEC 15408 に基づくセキュリティ評価・認証制度は、IT 製品・システムの実装を評価するものです。 それに対し、ISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)適合性評価制度は、 情報セキュリティに関する運用管理を評価するものです。

Q1-7．CCRA とは何ですか？

A1-7：
CCに基づいたセキュリティ評価・認証の相互承認に関する協定。正式名称は、Arrangement on the Recognition of Common Criteria Certificates in the Field of IT Securityですが、簡略化しCommon Criteria Recognition Arrangementと呼ばれていることから、CCRA と略されています。

ある国でCCに基づいて評価・認証された製品は、協定に合意した国同士でも相互に通用します。 加盟国には、自国に評価・認証制度を持つ認証国と、 国内に制度を持たないけれども、他の加盟国で認証されていれば、その国でも認証済みの製品として受け入れる認証受入れ国があります。CCRAでは、認証制度は基本的には国または国から委託をされた機関が運営･監督することとなっています。

この協定によって、調達者は使用目的の要件を満たす製品を、国際的により多くの選択肢から共通の基準を用いて調達することができます。また、ベンダーもこの国際標準に従うことにより、国や制度ごとに異なる評価基準を満たす必要がなくなります。

現在CCRAでの相互承認の範囲は、評価保証レベル(EAL)1から4となっています。

最新情報は、こちらのページをご参照ください。

Q1-8．セキュリティターゲット(ST)とプロテクションプロファイル(PP)について教えてください。

A1-8：
ST(Security Target)は、IT製品のセキュリティ機能について、その目的や対抗手段、想定される運用環境などを記載したセキュリティ基本設計方針書のようなものです。製品調達の際、このSTを読むことで対象製品が自らの環境や目的に合致しているかを判断できますし、同類製品をSTにより比較することもできます。
PP(Protection Profile)は、特定の分野の製品について必要とされる典型的なセキュリティ要件、環境などを記述した要求仕様書であり、STをより抽象的(実装非依存）にしたものとなっています。製品調達者が、PPという標準化された要件形式を用いることで、調達者や開発者などが共通の解釈をもつことができます。
CC(ISO/IEC 15408)のパート1の附属書にSTとPPの仕様が記述されています。 STとPPの記載内容をお知りになりたい方は、CC Version 3.1 パート1の附属書をご参照ください。

また、PPに関しましては、「IC旅券用プロテクションプロファイル」に関する調査報告書もご参考としてください。

Q1-9．評価と認証はどのように違うのですか？

A1-9：
評価(機関)は対象となる製品に対し実際の評価を行い、認証(機関)は評価結果に対し認証を行います。
評価では、製品やシステムのセキュリティ機能の妥当性･正確性をIT及びセキュリティの専門的な知識をもって検査します。認証ではその評価項目が評価基準に沿ってなされたか、つまり特定の側面だけが深くあるいは網羅性のみで技術的に浅い評価が行われることなく、評価保証レベルに見合ったバランスのよい評価が行われたことを確認します。

Q1-10．評価機関や認証機関になれますか？

A1-10：
CCRAで有効な認証機関は一国にひとつであり、国もしくは国が委託した機関である必要があります。日本においてはIPAが認証機関となっています。
評価機関となるには、認定機関であるNITE(独立行政法人 製品評価技術基盤機構)により手続、設備、教育などが試験事業者としての要件を満たしていることの認定を受ける必要があります。認定審査とともに、試行的な評価を実施し、セキュリティ評価を行える要員を組織が有していることも認証機関（IPA)により確認されます。もちろん、IT製品のセキュリティ評価・脆弱性評定が可能な特定分野でのEALに応じたITスキルの保持が前提となります。

Q2-1．評価・認証を受ける手順を教えてください。

A2-1：

おおまかなイメージとしては、下記のようなステップになります。

Q2-2．評価・認証にかかる期間、費用を教えてください。

A2-2：
期間は、評価対象の規模や評価保証レベル(EAL)、開発期間によって異なるため一概には言えませんが、例えば、EAL2 の場合で最短でも 4〜6ヶ月はかかっています。 EAL4の場合、12ヶ月以上かかることもあります。認証が調達の要件等になっている場合などは、予め期日にむけたスケジュールを評価開始時に調整する必要があります。

費用は、評価機関に支払う評価費用、認証機関に支払う認証申請手数料のほか、ST作成や（もし、現開発プロセスにおいて作成される資料で不十分な場合は） CCで定められた各種証拠資料の準備、評価中に生じる不具合等への対応、テスト環境の準備などの内部工数あるいは、コンサルタント（使用した場合）にかかる費用が発生します。 評価費用は、評価対象の規模や現開発プロセスの状況などに応じて、また評価機関のサービス内容によって異なります。評価費用とそのサービス内容については、各評価機関にお問い合わせください。認証申請手数料は、「申請手数料支払いについて」をご参照ください。

Q2-3．評価機関からコンサルティングサービスを受けた場合、その評価機関で評価を受けることは可能ですか？

A2-3：
評価機関がコンサルティングサービスを提供することは、禁止されています。評価機関及び評価者は、評価に際し独立性及び公平性を維持することが義務付けられています。 評価機関の所属する法人でも、独立した別部門が評価にまったく影響を与えない形でコンサルティングを実施する場合がありますが、この場合でも評価機関の独立性はNITE(独立行政法人 製品評価技術基盤機構）により厳しく審査されています。

Q2-4．どのようなものが評価・認証の対象になりますか？

A2-4：
セキュリティ機能を持ったIT製品のソフトウェア、ハードウェア、ファームウェア等が対象になります。 ISO/IEC 15408は、IT製品に実装されたセキュリティ機能が、脅威に対し確実に対抗できるかを客観的に評価するための基準です。 したがって、評価の対象となるものは、「保護するべき資産(情報)」、「対抗すべき脅威(攻撃)」、 「適用すべき環境」が具体化できるものでなければなりません。

評価･認証済みの IT 製品としては、OS、DBMS、ファイアウォール、ルータ、IC カード、MFPなどがあります。具体的な製品については、JISECにおける認証製品リストやCCRAのCertified product listなどを参照してください。

実際に認証申請をする場合には、評価機関が申請する評価対象分野を評価できる必要がありますので、事前に評価可能かを各評価機関にご相談ください。

Q2-5．評価にはどのようなものが必要になりますか？

A2-5：
CCのセキュリティ評価では、機能テストは一部の側面でしかありません。IT 製品/システムだけではなく、その開発で使用した設計文書やテスト関連の文書、利用者や管理者ガイダンス、開発サイトでのセキュリティ維持のための手順書や実施証拠資料（ログや承認書など）も評価の対象となります。また、EALによって評価の範囲や深さが異なりますので、これらの必要な資料類も異なります。

Q2-6．STを作成したいのですが、どのようにすればよいでしょう？

A2-6：
CCパート1の附属書Aを参考に作成できます。また、現在、JISECの各種講座や評価機関において、 ST作成に関する教育が行われています。 詳細につきましては、各機関にお問い合わせください。

Q2-7．評価保証レベル(EAL) は、開発者、調達者・顧客のどちらが決めるべきものなのでしょう？

A2-7：
ケースバイケースです。調達などでは要件に見合ったEALを調達者・顧客が指定する場合もありますし、パッケージ製品では製品の特性や市場の動向から開発者が決定する場合もあります。 いずれにしても適切なEALの選択が、スムーズな評価・認証につながります。EALの決定については、「セキュリティ機能と保証レベル」も参照ください。

Q3-1．秘密保持契約の内容を変更したいのですが可能ですか？

A3-1：
内容を検討の上、対応いたします。検討のためお時間を要しますので、余裕を持ってご相談ください。なお、申請受付は追記事項等の合意がとれてからとなります。

Q3-2．評価・認証の際に提供した情報は保護されますか？

A3-2：
はい、認証に関しては、案件ごとに申請者と認証機関の間で、秘密保持契約を締結させていただいています。また認証に係る要員についても、　秘密保持のための誓約書に捺印するとともに、ネットの二重化、データの暗号化、情報取扱い手順の遵守等による情報保護対策をおこなっております。
また、評価機関につきましてもNITE(独立行政法人 製品評価技術基盤機構）により情報の管理について厳しい審査を受けています。

Q3-3．申請責任者にはどのような役職が必要ですか？

A3-3：
役職等については定めておりませんが、申請について最終的な決定と責任を負う方となります。

Q3-4．日本語以外の申請は可能ですか？

A3-4：
申請書類等の事務手続きは日本語となります。また、申請者はJISECの規程（日本語）を理解できる必要があります。

開発者が海外の会社であるなどの理由により、STや評価報告書が英語である場合も対応は可能ですが、英語対応につきましては、日本語案件よりも対応工数がかかることがあります。詳細はご相談ください。なお、英語以外の外国語の対応はしておりません。