コモンクライテリア(Common Criteria、略称CC)は、情報技術(IT)製品やシステムのセキュリティを評価するための国際標準規格(ISO/IEC 15408)です。情報技術製品が必要とするセキュリティ機能が適切に設計され、実装されているかを第三者機関が評価・認証し、その製品の信頼性を保証するものです。評価結果は**評価保証レベル(EAL)**で示され、EALが高いほど厳格な評価をクリアしたことを意味します。
コモンクライテリアの主な特徴
- 国際標準規格:CCは、アメリカ、カナダ、ドイツなど複数国のセキュリティ認証制度を統合する目的で開発され、現在では世界中の安全なIT製品の相互承認で最も広く利用されています。
- 評価保証レベル(EAL):CC認証では、製品のセキュリティ機能の評価の厳格さを示す指標として、EAL1からEAL7までのレベルが設定されています。EAL7が最も厳格な評価レベルです。
- 第三者による評価・認証:CC認証プロセスは、独立した評価機関が製品をテストし、そのセキュリティ上の機能が仕様通りに実装されていることを確認するものです。
- 信頼性の保証:CC認証により、製品開発者が提唱するセキュリティ機能が正しく有効であることを、独立した第三者機関が客観的に証明します。
- 政府調達での利用:コモンクライテリアは、政府機関によるIT製品の調達基準としても採用されており、各国でその推進が進んでいます。
日本での取り組み
- JISEC(ITセキュリティ評価及び認証制度)::日本では、IPA 独立行政法人 情報処理推進機構が認証機関を運営し、この制度に基づいた認証製品の一覧を公開しています。
利用される製品・システム
コモンクライテリア認証の対象は、オペレーティングシステム、データベース、ネットワークデバイス、複合機、スマートカードなど、様々なIT製品やシステムです。
コメント