コモンクライテリア (コモンクライテリア) とは | 意味や読み方など丁寧でわかりやすい用語解説

コモンクライテリア (コモンクライテリア) の読み方

日本語表記

コモンクライテリア (コモンクライテリア)

英語表記

Common Criteria (コモン クライテリア)

コモンクライテリア (コモンクライテリア) の意味や用語解説

コモンクライテリア（Common Criteria: CC）とは、情報技術（IT）製品やシステムのセキュリティ機能を評価するための国際的な標準規格のこと。ISO/IEC 15408として標準化されている。製品やシステムが持つべきセキュリティ要件を定義し、その要件が正しく実装され、機能しているかを第三者機関が評価・認証する仕組みを提供する。 概要として、コモンクライテリアは、政府機関や企業がセキュリティレベルの高い製品を選定したり、自社製品のセキュリティを客観的に評価したりする際に役立つ。これによって、セキュリティリスクを低減し、情報資産を保護することが可能となる。コモンクライテリアは、特定の技術や製品に依存せず、幅広い分野に適用できる汎用性を持つ。例えば、オペレーティングシステム、データベース管理システム、ネットワーク機器、スマートカードなど、様々なIT製品のセキュリティ評価に利用できる。 詳細について説明する。コモンクライテリアは、セキュリティターゲット（Security Target: ST）とプロテクションプロファイル（Protection Profile: PP）という二つの主要な概念に基づいている。 セキュリティターゲット（ST）は、評価対象となる製品やシステム（Target of Evaluation: TOE）のセキュリティ要件を具体的に記述した文書のこと。STには、TOEの機能概要、セキュリティ目標、セキュリティ機能要件、セキュリティ保証要件などが含まれる。STは、製品開発者がTOEのセキュリティ設計を明確にするために作成し、評価機関がTOEのセキュリティ評価を行う際の基準となる。 プロテクションプロファイル（PP）は、特定のカテゴリの製品やシステムに共通するセキュリティ要件をまとめた文書のこと。例えば、ファイアウォールやスマートカードなど、特定の用途を持つ製品に対する一般的なセキュリティ要件がPPとして定義される。PPは、政府機関や業界団体などが作成することが多く、製品開発者はPPに適合する製品を開発することで、一定レベルのセキュリティを確保できる。また、製品購入者は、PPに適合した製品を選択することで、セキュリティリスクを低減できる。 コモンクライテリアの評価プロセスは、大きく分けて以下の段階で構成される。 1. セキュリティターゲット（ST）の作成：製品開発者は、TOEのセキュリティ要件を明確化し、STを作成する。 2. 評価準備：評価機関は、STの内容を精査し、評価に必要な準備を行う。 3. 評価の実施：評価機関は、STに基づいてTOEのセキュリティ機能をテストし、設計、実装、運用に関する証拠を検証する。 4. 評価結果の報告：評価機関は、評価結果をまとめた報告書を作成する。報告書には、TOEがSTの要件を満たしているかどうか、満たしていない場合はその理由などが記載される。 5. 認証：評価結果が基準を満たしている場合、認証機関がTOEに対して認証を付与する。認証されたTOEは、コモンクライテリアの認証マークを表示できる。 コモンクライテリアは、セキュリティ保証レベル（Evaluation Assurance Level: EAL）という指標を用いて、評価の厳格さを段階的に示している。EALは、EAL1からEAL7までの7段階があり、数字が大きいほど評価が厳格になる。EAL1は最も基本的な評価であり、EAL7は最も厳格な評価となる。製品やシステムの用途やリスクに応じて、適切なEALを選択する必要がある。例えば、個人情報を扱うシステムや、重要なインフラを制御するシステムなど、高いセキュリティが求められる場合は、高いEALが選択されることが多い。 コモンクライテリアの認証を取得することは、製品やシステムのセキュリティレベルを客観的に証明する手段となる。これにより、製品の信頼性が向上し、競争力を高めることができる。また、政府機関や企業が製品を選定する際にも、コモンクライテリアの認証は重要な判断材料となる。 コモンクライテリアは、常に変化するセキュリティ脅威に対応するため、定期的に見直され、改訂されている。最新のバージョンを確認し、適切なセキュリティ対策を講じることが重要である。セキュリティエンジニアを目指す上で、コモンクライテリアの知識は不可欠であり、継続的な学習が求められる。