情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. ITセキュリティ評価及び認証制度(JISEC)
  4. コモンクライテリア登録制度
  5. コモンクライテリア アセッサ登録に係るQ&A

コモンクライテリア アセッサ登録に係るQ&A

最終更新日:2008年7月11日

  1. Q1開発元レビュー報告書のレビュー対象となる製品は、認証申請されたものでなければいけませんか。

    A1

    はい。レビュー対象となる製品は「ITセキュリティ評価及び認証制度」において評価対象として申請されたものでなければなりません。これは以下の2つの理由によるものです。まず、レビューの過程で秘密情報に触れる機会があるため、秘密保持契約を締結している必要があること。そして、レビュー対象製品について、審査者が十分な知識を有している必要があることです。申請がなされていれば、認証が完了していなくても構いません。

  2. Q2アセッサ申請者は、評価対象製品の開発会社かコンサルタント会社に所属していなければなりませんか。

    A2

    はい。これはレビュー対象に関する秘密情報が「ITセキュリティ評価及び認証制度」における認証申請に係る秘密保持契約に基づいて管理されるためです。この秘密保持契約に基づいて処理できば、レビュー対象となる製品の直接的な開発者でなくてもアセッサの申請は可能です。

  3. Q3申請責任者とは、どのような立場の人ですか。

    A3

    レビュー対象となる評価対象製品の「ITセキュリティ評価及び認証制度」の認証申請における責任者となります。アセッサ審査に係る秘密情報が、「ITセキュリティ評価及び認証制度」での認証申請時に締結した秘密保持契約に基づき管理されるため、アセッサ登録の申請においても認証申請の申請責任者(あるいはその役務を継承する者)が申請責任者となる必要があります。アセッサ申請者と所属が異なる場合も、申請責任者が申請を行うことになります。

  4. Q4経歴書は審査にどの程度影響しますか。

    A4

    大きく影響することはありません。レビュー対象となる製品やセキュリティ評価に関する知識をどの程度有しているかの参考とし、開発元レビュー報告書において不足している部分のさらなる詳細を確認する必要があるかの判断に用いることがあります。

  5. Q5同じ案件で複数人の申請は可能ですか。

    A5

    可能です。アセッサ申請者ごとに独立してレビューを行って開発元レビュー報告書を作成いただければ、同じ案件での複数の申請は可能です。ただし、明らかに類似した記述がアセッサ申請者間でみられたり、すべてのレビューをアセッサ申請者本人が実施していないことが判明した場合、申請取消しまたは不合格となる可能性があります。また、多くの申請が同時にあった場合、審査に時間を要するため、申請時に審査期間に関する調整をお願いすることもあります。ただし、同一のアセッサ申請者による同時複数の申請は受け付けていません。

  6. Q6不合格となった場合、同じ案件で再び申請は可能ですか。

    A6

    可能です。この場合、新たな申請として扱われます。しかしながら、コモンクライテリアの根本的な理解を欠いたままでの審査の申請はご遠慮いただいております。申請時にそのあたりのご理解をいただくこともあります。

  7. Q7合否はどのように通知されるのですか。

    A7

    合否の通知は、書面審査及びインタビュー審査終了後に、IPA理事長名の文書にてアセッサ申請者(様式1のコモンクライテリア アセッサ登録の申請者)本人に送付されます。不合格の場合には、その理由も通知されますので、参考にしてください。合格の場合、通知のタイミングでIPAのホームページのコモンクライテリア アセッサ登録者リストにも公開されます。