CCによりセキュリティを評価され認証された製品とは、どのような意味があるのでしょうか。ここで重要なのは、評価対象となるセキュリティ機能、対抗すべき脅威、使用される環境などがすべて申請者により明確に提示されていることです。また、評価が国際的な基準に基づき客観的に（第三者がトレース可能な方法で）行われているということです。
ある製品について、開発者が主観的に「セキュリティは万全です」と宣言することは、調達者にとってあまり有用ではありません。調達者により、その製品に期待するセキュリティ機能の範囲や強度、使用環境や運用条件などが異なります。そのすべての状況において調達者の期待するとおりにセキュリティ機能が対抗しうるということは不可能でしょう。また、技術の進歩により日々新しい攻撃が生まれている現状で、継続的なセキュリティを謳うことも非現実的です。

調達者は、自らの用途、環境において最適な製品を選択し、また日々の運用･管理において注意･実施すべき事項を識別するためには、どのセキュリティ機能が、どのような条件で、どんな範囲と深さで評価されたかを、共通のものさしを以って示されることが不可欠となります。CCによって評価されたということは、その製品の機能や運用環境が明確に提示され、セキュリティ機能に関しどの範囲のどのレベルまでの証拠を検査したかと同時に、セキュリティ機能を有効に利用するために何をしなければならないかということが提示されることを意味します。

つまり、調達者にとって自らの環境における情報セキュリティを確保するための認証製品の活用とは、単に認証された製品を選択することではなく、認証された製品の公開情報を十分吟味することが大切です。認証の内容を理解しないまま製品を導入してみたが、実は評価されたセキュリティ機能は調達者が想定している脅威に十分対抗するものではなかったり、要求される運用条件を満たすことが調達者の環境では困難であったりした場合、認証製品を選択したことがセキュリティ対策に結びつかないことになります。

認証された製品の情報は、申請者が公開を希望しないものを除き、JISECの公開ウェブページに認証製品リストとして公開されています。認証製品リストには、評価対象の概要とともに認証報告書、セキュリティターゲット、保証継続報告書、認証書などが掲載されています。

• 認証報告書

  評価機関が実施したセキュリティ評価の内容について、認証機関が認証した結果を調達者及び評価申請者に提示する報告書です。評価対象(TOE: Target Of Evaluation)がどのようなもので、評価されたセキュリティ機能はどのようなセキュリティを実現しているかを分かりやすくまとめ、調達者がそのTOEに関心を持つかを判断する材料を提供します。また、セキュリティ機能の特性、開発者から提供された資料などからどのようなテストによりセキュリティが確認されたかの概要も掲載しています。詳細は次項の「認証報告書を読んでみる」を参照してください。

• セキュリティターゲット

  セキュリティターゲット(ST: Security Target)では、TOEがどのようなもので、どのようなセキュリティを実現するか、どの範囲が評価されたかを認証報告書よりさらに細かく説明しています。セキュリティターゲットは、評価者と開発者が評価において共通の認識を持つ基礎に使用され、評価後は調達者がTOEを選択し導入を決定するためのセキュリティ事項の理解に利用されることを想定しています。
  セキュリティターゲットでは、TOEが想定する脅威、運用に必要な管理及び環境、脅威に対抗するセキュリティ機能、それらの十分性の根拠が系統的に説明されています。セキュリティターゲットの仕様についてはCCパート1に詳細に述べられていますので、実際のセキュリティターゲットを読まれる前に、目を通してみてください。
  また、セキュリティターゲットには、セキュリティ機能が共通の表現形式（用語や概念）で記述されており、他のTOEとの比較が可能となっています。調達者はこの表現形式を用いて、調達に必要な要件を表すこともできます。セキュリティ機能の共通の表現形式についてはCCパート２に記述されています。

• プロテクション・プロファイル

  プロテクション・プロファイル(PP: Protection Profile)とは、特定の製品分野において要求される典型的なセキュリティ要件を想定したセキュリティ基本設計書のひな型です。例えば、「OS」、「ファイアウォール」、あるいは「ICカード」などのカテゴリに対してPPが作成されます。ある製品に関係したPPが既に開発済みである場合、その製品のST作成時に開発済みのPPを参照 (引用) することができます。調達仕様作成時、あるいは製品開発時に、その製品分野のPPを元に個別製品特有の仕様の反映を追加することで、STの作成が容易となります。また、重要な脅威を見落としたりする恐れも減少します。
  

  PP作成の参考資料

  　PP作成者が、PPを作成する際に参考とすることができるPP及びガイダンスを掲載しました。 なお、本PP及びガイダンスは、正式に評価・認証されたものではありません。従って、該当製品を開発する者が本PPを参照したSTを作成し、 セキュリティ保証に関するISO/IEC15408の評価認証取得を図ることはできません。

  • IC旅券用プロテクションプロファイル　（全60ページ、417KB）
  • IC旅券用プロテクションプロファイル解説書　（全46ページ、574KB）

• 保証継続報告書

  認証されたTOEに対し、セキュリティ機能に影響しない変更がなされた場合、保証継続という手続きがとられます。詳しくは保証継続のページを参照してください。保証継続では、申請者はTOEのセキュリティにそれらの変更が影響を与えないことを分析し、認証機関に分析結果を報告します。保証継続報告書は、それらの影響分析の確認を行った結果を調達者及び申請者に報告するものです。基本的にセキュリティに関する変更はないため、どのような変更がなされたかの概略のみが示されています。セキュリティ事項については、その保証継続の元となった認証TOEの情報を参照してください。