認証申請にあたり、申請者はその目的と範囲をあらかじめ明確にしておく必要があります。この検討が十分にされていないと、無駄なコストや工数が評価･認証の過程で発生します。

セキュリティ評価とその目的

本制度では、製品やシステムのセキュリティ機能を国際的な規格に沿って評価します。 評価は、製品のセキュリティ機能を提供するもの（開発者）が、それを利用するもの（調達者）に対してセキュリティ機能の使用目的や使用条件などのセキュリティ目標を明確にし、第三者（評価機関）がそのセキュリティ目標を達成するのに妥当な機能及び実装であることを検査します。

セキュリティ評価の意義は、その製品やシステムのセキュリティ機能について、利用者にその目的と環境を伝えることで、安全な使用を促し、また第三者評価を通じて製品使用に対する安心を与えるものとなります。

また、本制度での認証結果はCCRAという国際的なアレンジメントに基づき、CCRA加盟国で相互に承認されることになりますので、たとえば他国で製品調達要件としてCCの認証取得を要求されている場合には、わが国での認証取得結果を利用できることになります。

それ以外にも、セキュリティ評価は、IT及びセキュリティの専門家が行うため、貴社では気が付かなかった製品の脆弱性につながりかねない製品開発環境や開発手順等の懸念事項を洗い出す効果もあります。一度評価を受けて認証を取得し、その経験を生かして自らが安全な開発サイクルを作り上げるという利用方法もあります。

セキュリティ評価の対象

対象はセキュリティ機能を持つIT製品やシステムです。ただし、認証申請にあたり、貴社で申請する製品を評価可能な評価機関が必要となります。特に特定の分野での特殊な技術や設備を必要とするような場合、評価機関が対応できない場合がありますので、事前に各評価機関にお問い合わせください。

セキュリティ評価の範囲

評価は、セキュリティ機能のふるまいだけではなく、証拠資料としてその設計、開発環境、マニュアルなども対象となります。どのような証拠資料をどれだけ厳密に検査するかは、どの評価保証コンポーネントを選択するかによって異なります。これらの評価の範囲は調達者が要求仕様として示すものです。

また、製品開発者みずからがどのような環境で、どのような脅威から何を守るのかというセキュリティ目標を明確にし、消費者にアピールすべき適切な評価内容を決定することもできます。この決定は、コストに大きく影響をしますので、意味のあるかつ過度にならない評価保証のレベルを慎重に検討してください。評価の範囲の決定については「PPを用いない認証申請におけるTOE決定に係る指針」を参照してください。

評価基準の理解

有効でコスト的にも適切な認証取得のためには、申請者はセキュリティ評価基準(Common Criteria)の理解は不可欠です。しかし、規格書のすべてを理解することは困難なことです。まずは、申請にあたって必要となる、評価する製品のセキュリティ目標を正しく伝えること（ST作成）と、効果的な評価保証のレベルを決定すること（評価保証コンポーネントの概要）について、規格書を参照し概要を把握しましょう。評価フェーズでは、必要に応じて評価者などに規格の内容を確認してください。また、JISECではセミナーなども実施しておりますので、是非ご利用ください。

• 認証取得にかかる費用は、認証機関 (IPA) に支払う認証申請手数料と評価機関に支払う評価費用がかかります（評価費用については各評価機関にお問い合わせください）。評価費用は、評価対象の製品の特性や評価範囲あるいは評価保証レベルにより異なってきます。申請においては、提供できる資料、開発スケジュール、内部工数を含めた投資費用に対する効果などを考慮し評価保証レベルを決定します。
• 申請後に、「申請取下げ届」を提出することにより申請の取下げを行うことができますが、一旦支払われた申請手数料は返金されませんのでご注意ください。

• セキュリティ評価・認証にあたる専任体制をビジネス的に構築できない、あるいはセキュリティ評価に関する知識・経験が不足しているなどの理由で、外部リソースとしてコンサルティングサービスを活用するという選択肢があります。
• 認証機関であるIPAでは、コンサルティングサービスは行っていませんが、多くの会社でISO/IEC15408に基づくITセキュリティ評価のコンサルティングサービスを提供しています（IPAではコンサルティングサービスの紹介は行っていません）。
• 認証取得トータルサービスやST作成支援、評価用提供物件作成支援など、様々なサービスがあります。コンサルティングサービスを活用する場合には、申請者サイドで行う内容と、コンサルティングサービスにお願いしたい内容を整理しましょう。また、コンサルタントが実施した部分の内容については誰も理解していないことがないように、申請者はコンサルティングの内容を把握しておきます。特に申請者がSTの内容を理解していないような場合、作成されたSTが意図されたセキュリティ機能の要件や根拠を示していないため、評価時にかえって多くの見直しが発生するケースがあります。
• なお、評価機関は評価の公平性及び独立性の立場から、当該評価機関の申請案件のコンサルティングを行えません。