HOME >> 情報セキュリティ >> ITセキュリティ評価及び認証制度(JISEC) >> 評価認証制度概要

評価認証制度(JISEC)概要

更新日:2016年 5月12日

「ITセキュリティ評価及び認証制度 (JISEC:Japan Information Technology Security Evaluation and Certification Scheme)」とは、IT関連製品のセキュリティ機能の適切性・確実性を、セキュリティ評価基準の国際標準であるISO/IEC 15408に基づいて第三者(評価機関)が評価し、その評価結果を認証機関が認証する、わが国の制度です。本制度は主に政府調達において活用されています。

現在IPAが本制度の認証機関として、JISECを運営しています。

JISEC outline
画像をクリックすると大きなサイズでご覧になれます。

本制度の概要

本制度に関連する用語

  • 評価
    第三者機関(評価機関)が、評価対象となる製品・システムのセキュリティ機能について、目標とするセキュリティレベルが適切であり機能が正確であることをセキュリティ評価基準に基づいて検証すること。
  • 評価機関
    申請者からの評価依頼を受けて、評価を実施する機関。評価結果は認証機関に提出されます。評価機関は、認定機関からIT 製品やシステムの評価を行う試験事業者としての認定を受ける必要があります。最新の評価機関の情報については下記関連情報を参照してください。
  • 認証
    実施された評価の結果について、セキュリティ評価基準に基づいて適切に実施されていることを検証すること。
  • 認証機関
    評価機関からの評価報告を検査し、認証を実施する機関。経済産業省の事業を受託してIPAが認証機関として本制度の運営を実施しています。

本制度の流れ

  1. 政府機関などがシステム構築においてセキュリティ機能を有する製品を調達する場合、調達仕様書などでその製品の要求仕様を提示します。
  2. 製品ベンダーあるいは調達者自身が、調達対象となる製品が提示された要件(あるいは製品開発者自らが宣言した要件)を満たすことを示すため、評価機関を選択し、その製品の評価依頼をするとともに、認証機関に認証申請を提出します。
  3. 評価機関は、申請者の依頼により、その製品に係る様々なセキュリティの側面(開発資料や流通過程、ガイダンスなど)をセキュリティ評価基準に基づいて評価します。
  4. 評価機関は、評価が完了すると認証機関に対し、評価結果を記載した評価報告を提出します。
  5. 認証機関は、評価報告を確認した後、その製品に対する認証書を発行します。認証は国際的承認アレンジメント(CCRA)加盟国でも通用します。

本制度の意義

その製品やシステムの評価で用いられるセキュリティ評価基準は、国際標準(ISO/IEC 15408)です。つまり、調達者は製品やシステムの調達時に、この共通的な要求仕様表現を用いて、要求仕様を明確に製品提供者に伝えることができます。さらに、認証製品の中から、共通の表現で示された仕様により、セキュリティ機能を比較し選択することが可能となります。

また、わが国は同様の制度を持つ他の国々と認証製品を相互に受け入れる協定に参加しています。このため、国内で認証を受けた製品は、協定に参加している各国においても認証された製品とみなされます。国内ベンダーの国際市場競争力の確保においても本制度が利用されています。 国際的な協定については、下記関連情報をご参照ください。

本制度の経緯

  • 2001年 4月、電子政府のセキュアな基盤構築に先がけて、IT関連製品のセキュリティ 機能・品質を国際規格(ISO/IEC 15408) に基づき評価及び認証する「ITセキュリティ評価及び認証制度(JISEC)」が創設されました。当時は独立行政法人製品評価技術基盤機構(NITE)が認証機関として本制度を運営していました。
  • 2003年10月31日、日本は国際相互承認アレンジメントであるCCRA(Common Criteria Recognition Arrangement)に加盟しました。これにより、JISECにおける認証製品がCCRA加盟国においても認証製品として受け入れられる体制が確立しました。
  • 2004年4月、同制度における認証業務及び運営がNITEからIPAに移管され、IPAが本制度の運営を開始しました。

パンフレット

本制度のパンフレットはこちらからダウンロードできます。
ISO/IEC 15408 ITセキュリティ評価及び認証制度パンフレット(2016年5月12日)pdf(2.89MB)

関連情報