更新日:2021年9月1日
ST確認とは、セキュリティ評価基準ISO/IEC 15408(CC: Common Criteria)に基づき開発者・申請者により作成されたセキュリティ設計仕様書(ST: Security Target)及び機能仕様を、規定された評価方法であるISO/IEC 18045(CEM: Common Evaluation Methodology)に従って第三者機関が評価し、IPAがその評価結果を確認するわが国固有の制度です。
現在、「政府機関等のサイバーセキュリティ対策のための統一基準群(令和 3 年度版)」における 「政府機関等の対策基準策定のためのガイドライン(令和3年度版 )」では基本対策事項として、 開発する情報システムが対抗すべき脅威について、適切なセキュリティ要件が策定されていることを第三者が客観的に確 認する必要がある場合には、ST確認を活用することを求めています。 詳細は下記リンクをご参照ください。
ST確認制度は、セキュリティ評価基準で規定された保証から、評価の対象とする証拠資料及び保証範囲を限定して評価します。
ST確認での保証の対象は、以下のとおりです。申請者はこれらの資料を評価機関に提供します。ST確認申請にあたってSTが必要となります。
ST確認で評価機関が確認する保証コンポーネントは以下の範囲となります。
ただし、EAL1の評価で許容されている低保証STは、セキュリティ機能の妥当性の検証ができないため、ST確認制度の対象外となります。また、ADV_FSPの評価においてガイダンス文書の検査は除外されます。
ST確認は、上記保証コンポーネントの範囲での確認であり、認証と異なり最終的な製品やシステムに対する評価は行われません。調達者はST確認があくまでも最終的な製品の認証を前提とし、その設計段階での妥当性を確認する便宜的な制度であることに留意願います。
確認申請の手続については、こちらをご参照ください。
以下に申請者の公開希望に基づき、ST確認済み及びST確認申請中の情報を公開します。