ISO/IEC 15408とISO/IEC 18045は、情報セキュリティ評価に関連する国際標準規格です。これらは、セキュリティ製品やシステムの評価に用いられ、特に政府や軍事、企業などの重要なシステムで、セキュリティの堅牢性を検証するために使われます。
ISO/IEC 15408(通称: Common Criteria)
ISO/IEC 15408は、「ITセキュリティの評価基準」を定めた国際規格で、正式にはCommon Criteria for Information Technology Security Evaluation(情報技術セキュリティ評価のための共通基準)と呼ばれます。
主な目的
- セキュリティ製品の評価基準を統一し、世界中で同じ基準で製品のセキュリティ性能を評価できるようにする。
- 評価保証レベル(EAL: Evaluation Assurance Level)という尺度を使って、製品のセキュリティの信頼性を評価し、一定の保証を与える。
構造
ISO/IEC 15408は、以下の3部から成り立っています。
1. パート1: 概要と一般モデル
セキュリティ評価の基本概念と原則を提供。評価の対象となる製品のセキュリティ要件を定義します。
パート2: セキュリティ機能要件
システムや製品が持つべきセキュリティ機能(例えば、アクセス制御、暗号化、認証など)の具体的な要件を定義します。パート3: セキュリティ保証要件
製品の設計や開発、運用の際にセキュリティの信頼性を確保するためのプロセスや手法を規定。評価保証レベル(EAL)はこの部分で定義されます。
評価保証レベル(EAL)
EALは、製品やシステムがどの程度までセキュリティに対して評価されたかを示す基準です。EAL 1からEAL 7までのレベルがあり、数字が大きいほど評価が厳格になります。 - EAL 1: 機能性の検証。基本的なテストとレビューのみ。 - EAL 7: 設計、開発、テストにおいて最高レベルの保証が必要。極めて高い信頼性が求められる。
ISO/IEC 18045(評価手法)
ISO/IEC 18045は、ISO/IEC 15408に基づいて、セキュリティ評価の手法を詳細に規定した規格です。正式名称はInformation Technology Security Techniques – Methodology for IT Security Evaluation(情報技術セキュリティ技法 – ITセキュリティ評価の手法)です。
目的
ISO/IEC 15408で定義されているセキュリティ要求事項に対して、どのように評価を実施するかの具体的な手順や方法を規定しています。この規格は、評価者が製品のセキュリティを正確かつ客観的に評価するための指針を提供します。
内容
- セキュリティ評価のプロセスを詳細に説明し、評価対象のセキュリティ要件に対して、どのようなテストを行い、どのように証拠を収集するかを示します。
- 技術的な評価手法(テスト、レビュー、インタビューなど)を規定し、それを評価保証レベル(EAL)の各レベルに対応させています。
ISO/IEC 15408とISO/IEC 18045の関係
ISO/IEC 15408がセキュリティ評価の基準を定めるのに対して、ISO/IEC 18045はその基準を実際にどう評価するかの方法を提供します。両者は連携して機能し、セキュリティ製品やシステムが適切に評価され、信頼性を確保できるようにしています。
まとめ
- ISO/IEC 15408: IT製品やシステムのセキュリティ性能を評価するための共通基準(Common Criteria)。
- ISO/IEC 18045: ISO/IEC 15408に基づいた具体的な評価手法を規定。
これらの規格は、国際的なセキュリティ基準として、政府や企業のシステムがセキュリティ上の要求を満たしているかどうかを判断する際に使われます。
