情報セキュリティ

CC(ISO/IEC 15408)概説

最終更新日:2008年10月10日

本制度の基本となるセキュリティ評価基準であるCC (ISO/IEC 15408) について、簡単に説明します。

CC (ISO/IEC 15408) とは

CC (Common Criteria) とは、情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格です。

欧米諸国では1980年代から自国のセキュリティ評価基準と評価制度を持ち、軍需や政府調達を主体に活用されてきました。90年代になり、これらのセキュリティ評価で先行していた国々により商用製品の活用や国際的な市場からの調達などを目的とした国際的なセキュリティの共通評価基準を作成するプロジェクトが発足したことがCC開発の始まりです。1999年、CCはISO標準 (ISO/IEC 15408) となり、2000年にはJIS標準 (JIS X 5070) として制定されています。

ITセキュリティ基準のための評価基準を示す名称としては、CC (Common Criteria)あるいはISO/IEC 15408のどちらも同じものを意味します。ただし、規格として発行される場合、CCとISO/IEC 15408の発行のタイミング及びバージョンは必ずしも一致しません。

CCの適用と評価範囲

CCは、情報技術を用いた製品やシステムのセキュリティ機能を対象としています。ソフトウェアだけでなく、ハードウェア、ファームウェア、あるいは、システム全体も評価対象となります。また、製品の形態としては、ファイアウォールのように、直接セキュリティに関係する機能を提供する製品に限らず、オペレーティングシステム、データベース、あるいはグループウェアなど、保護すべき資源を保有する製品はすべて評価対象となります。
(実際の評価対象の評価の可否については、各評価機関にお尋ねください。)

CCでは、セキュリティ機能の技術的な対策や実装、開発におけるプロセスなどを扱い、評価の対象とします。例えば、対抗する脅威に必要な機能が設計書に反映されていること、その機能が設計どおり実装されていること、開発現場や配付過程においてセキュリティが侵害される可能性がないこと、ガイダンス等にセキュリティを保つための必要事項が明確に示されていることなどを評価します。最終的には、それらの証拠や公知の情報から懸念される脆弱性について評定及びテストが実施されます。

また、どの深さまで評価するかという保証レベルという概念があります。例えば、機能仕様、インタフェース仕様及び製品ガイダンスのみを入力とした分析より、評価の対象に内部設計資料を加えることでより高い保証が得られるでしょう。必要な実装コードを確認すればさらに高い保証が得られますが、一方で評価のための費用や時間などのコストも大きくなります。このように、評価される製品が置かれる使用環境や守るべき資産の価値などにより、適切な保証レベルを選択することで、得られる保証のレベルとコストのバランスを考慮することができます。

CCは、評価対象の製品に係るいろいろな側面を評価しますが、製品やシステムを利用する組織における要員のセキュリティ教育やセキュリティ監査の実施といった組織上の運用や管理については、使用上の前提条件として扱われ、評価の対象とはなりません。

CCの意義

CCによって、情報技術製品のセキュリティの度合いを、仕様書やガイダンス、開発プロセスなど様々な視点から系統的に評価できるようになります。消費者(調達者)は、導入を検討している製品を共通の基準で比較することができ、必要なセキュリティレベルに応じて必要な機能を具備し、運用や管理まで考慮した製品やシステムを、適正なコストで導入することが可能となります。

また、開発者はCCを考慮したセキュリティ対策やセキュリティ機能の設計をすることにより、考慮もれのない安全な製品やシステムを開発することが可能となります。

CCは、情報技術セキュリティに関連した製品やシステムの開発者だけでなく、製品を導入・利用する消費者、製品やシステムの評価者などに、ぜひ知っておいて頂きたい規格であると言えます。

CEM 共通評価方法

CCに基づいた評価が、異なる制度や評価機関でなされても、その評価結果が均質である必要があります。そのため、評価に使用される手法(どのような対象を評価し、どのような判断を要するかなど)を明確にしたCEM (Common Evaluation Methodology : 共通評価方法) がCCとともに開発されました。CEMもISO標準 (ISO/IEC 18045) として発行されています。

一般的にCEMと呼ばれていますが、正式な規格の名称はCommon Methodology for Information Technology Security Evaluationです。

関連情報

CC及びCEMは、継続的にアップデートされています。最新の情報は以下をご参照ください。

評価基準

CCの規格(評価基準・評価方法)を参照することができます。

セミナー資料

CCに関するセミナーで使用された資料を参照することができます。