情報セキュリティ
最終更新日:2022年8月8日
「ITセキュリティ評価及び認証制度 (JISEC:Japan Information Technology Security Evaluation and Certification Scheme)」とは、IT関連製品のセキュリティ機能の適切性・確実性を、セキュリティ評価基準の国際標準であるISO/IEC 15408に基づいて第三者(評価機関)が評価し、その評価結果を認証機関が認証する、わが国の制度です。本制度は主に政府調達において活用されています。
現在IPAが本制度の認証機関として、JISECを運営しています。
第三者機関(評価機関)が、評価対象となるIT製品のセキュリティ機能について、目標とするセキュリティレベルが適切であり機能が正確であることをセキュリティ評価基準に基づいて検証すること。
申請者からの評価依頼を受けて、評価を実施する機関。評価結果は認証機関に提出されます。評価機関は、認定機関からIT 製品の評価を行う試験事業者としての認定を受ける必要があります。最新の評価機関の情報については下記関連情報を参照してください。
実施された評価の結果について、セキュリティ評価基準に基づいて適切に実施されていることを検証すること。
評価機関からの評価報告を検査し、認証を実施する機関。経済産業省の事業を受託してIPAが認証機関として本制度の運営を実施しています。
そのIT製品の評価で用いられるセキュリティ評価基準は、国際標準(ISO/IEC 15408)です。つまり、調達者はIT製品の調達時に、この共通的な要求仕様表現を用いて、要求仕様を明確に製品提供者に伝えることができます。さらに、認証製品の中から、共通の表現で示された仕様により、セキュリティ機能を比較し選択することが可能となります。
また、わが国は同様の制度を持つ他の国々と認証製品を相互に受け入れる協定に参加しています。このため、国内で認証を受けた製品は、協定に参加している各国においても認証された製品とみなされます。国内ベンダーの国際市場競争力の確保においても本制度が利用されています。 国際的な協定については、下記関連情報をご参照ください。
経済産業省が発信する本制度の政策に関する情報は下記で入手できます。
本制度の評価機関の認定は、認定プログラム「ASNITE試験事業者IT」において下記の機関が実施しています。
本制度の評価機関については、評価機関リストのページをご参照ください。
制度の国際的な協定については、CCRAのページをご参照ください。
認証実績や年度活動については、情報セキュリティ白書2022をご覧ください。