本来、ISO/IEC 15408に基づく評価は、設計書、製品テスト、開発環境あるいは配付手続などさまざまな側面について行われます。平成13年3月、政府は情報システムの構築に当たって調達するIT関連製品は、可能な限りISO/IEC 15408に基づいてセキュリティ評価されたもの等の利用を推進する方針を示しています。しかし、これらの評価基準で規定されたすべての要件を指定することは、調達者の調達決定の時期や、入札側の開発投資決定の時期からも困難な場合があります。そこで、製品やシステムのセキュリティ設計仕様書において、そのセキュリティ機能の要件と仕様の妥当性を確認し、機能仕様において、その要件が機能仕様に正しく反映されていることを確認するST確認制度が平成13年4月に発足しました。

現在、「政府機関の情報セキュリティ対策のための統一基準」において、「情報システムのセキュリティ要件」では強化遵守事項として、「ソフトウェア開発」では基本遵守事項として、重要なセキュリティ要件についてはST確認を活用することを求めています。詳細は下記リンクをご参照ください。

• 内閣サイバーセキュリティセンター
  政府機関の情報セキュリティ対策のための統一基準

ST確認制度は、セキュリティ評価基準で規定された保証から、評価の対象とする証拠資料及び保証範囲を限定して評価します。

ST確認での保証の対象は、以下のとおりです。申請者はこれらの資料を評価機関に提供します。ST確認申請にあたってSTが必要となります。

• ST
• 製品の機能仕様(機能仕様書や機能設計書に該当するもの）

ST確認で評価機関が確認する保証コンポーネントは以下の範囲となります。

• ASEクラス
• ADV_FSP.1

ただし、EAL1の評価で許容されている低保証STは、セキュリティ機能の妥当性の検証ができないため、ST確認制度の対象外となります。また、ADV_FSPの評価においてガイダンス文書の検査は除外されます。

ST確認は、上記保証コンポーネントの範囲での確認であり、認証と異なり最終的な製品やシステムに対する評価は行われません。調達者はST確認があくまでも最終的な製品の認証を前提とし、その設計段階での妥当性を確認する便宜的な制度であることに留意願います。

確認申請の手続については、こちらをご参照ください。

以下に申請者の公開希望に基づき、ST確認済み及びST確認申請中の情報を公開します。

• ST確認済みSTのリスト
  ST確認制度において、STが確認され、申請者が情報公開を希望したST確認の情報です。

• ST確認申請中のリスト
  ST確認制度において、STの評価･確認中であり、申請者が情報公開を希望したST確認の情報です。