最終更新日:2002年 3月25日
システムのセキュリティ評価技術に関する研究開発
実施者
概要
ISO 国際標準であるセキュリティ評価基準CC(Common Criteria for Information Technology Security)に基づくセキュリティ評価は、日本の制度上、セキュリティ評価技法CEM(Common Methodology for Information Technology Security Evaluation)に従い行うことになっているが、現状のCEM は主として単体のIT 製品のセキュリティ評価を想定していると考えられ、IT システムのセキュリティ評価向けには不十分なものである。実際、ISO/IEC においてセキュリティ評価技法に関する標準化が検討されているが、運用システムに対する具体的な評価技法は検討の緒についたばかりである。このような課題を背景に昨年度の研究開発では、EC(Electronic Commerce)関連の実運用を想定したシステムをモデルにして、CEMをベースにシステム評価における留意点や解釈の仕方を抽出し、開発したシステム評価技法により試行評価を行い、欧米の評価機関による検証も実施した。本年度の研究開発では、昨年度開発したシステム評価技法に基づき、システム評価技法の方法論や証拠資材作成の指針を洗練しつつ、電子政府関連の実運用システムを対象にして、正式な評価を受けるためのシステム評価用証拠資材一式の作成を行った。また、「セキュリティ設計評価支援ツール」の改善を行った。
総括報告書
(PDF: 47KB)
Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.