English
セキュリティ評価
ITSCとITセキュリティ評価及び認証制度
一般社団法人ITセキュリティセンター(ITSC)は、「ITセキュリティ評価及び認証制度」(JISEC:Japan Information Technology Security Evaluation and Certification Scheme)の第三者評価機関として独立行政法人製品評価技術基盤機構(NITE)から認定されています。
ITセキュリティセンターの前身である社団法人電子情報技術産業協会(JEITA) ITSCは、日本で初めてNITEから評価認証レベルEAL4の認定を受けた評価機関です。
IT関連製品のセキュリティ機能の適切性・確実性を、ISO/IEC 15408に基づいて評価作業を実施いたします。
ITセキュリティ評価及び認証制度と政府機関の調達要件
政府機関がIT製品を調達する際のセキュリティ機能に対する要件として、経済産業省策定の「IT製品の調達におけるセキュリティ要件リスト(PDFファイル)」(平成30年2月28日)が公開されており、ISO/IEC15408に基づく第三者認証の活用が有用であることが記載されています。
CCRA (Common Criteria Recognition Arrangement)
ITセキュリティ評価及び認証制度で認証された製品は、cPP適合の場合はEAL4まで、それ以外はEAL2までCCRA加盟国間で相互に通用します。
CCRA加盟国のうち国内に認証制度を持つ国は認証国(Certificate Authorizing)と呼ばれ、認証制度は持たないが認証国で認証された製品を受け入れる国は認証受入国(Certificate Consuming)と呼ばれます。
認証された製品をCCRAに登録するとCCRAの製品リストに掲載されます。
認証国と認証受入国(2023年3月現在)
認証国(CAP):18カ国
| オーストラリア | ノルウェー |
| カナダ | ポーランド |
| フランス | カタール |
| ドイツ | 韓国 |
| インド | シンガポール |
| イタリア | スペイン |
| 日本 | スウェーデン |
| マレーシア | トルコ |
| オランダ | アメリカ |
認証受入国(CCP):13カ国
| オーストリア | インドネシア |
| チェコ | イスラエル |
| デンマーク | ニュージーランド |
| エチオピア | パキスタン |
| フィンランド | スロバキア |
| ギリシャ | イギリス |
| ハンガリー |
ISO/IEC15408に準拠した
IT製品/システム評価の実績
ITSCはISO/IEC15408に基づいたIT製品/システムの評価業務において数多くの実績があります。
| 年度 | ITSC件数 | 全件数 |
|---|---|---|
| ~2007 | 67 | 137 |
| 2008 | 27 | 61 |
| 2009 | 20 | 42 |
| 2010 | 17 | 37 |
| 2011 | 18 | 59 |
| 2012 | 25 | 49 |
| 2013 | 6 | 37 |
| 2014 | 14 | 40 |
| 2015 | 16 | 32 |
| 2016 | 10 | 35 |
| 2017 | 14 | 62 |
| 2018 | 23 | 38 |
| 2019 | 12 | 32 |
| 2020 | 12 | 35 |
| 2021 | 14 | 39 |
| 2022 | 16 | 30 |
注)
- ITSC件数:ITSCが評価を実施し、日本の認証機関により新規認証された件数(ソフトウェア)
- 全件数:日本の認証機関が発行した、全評価機関による新規認証の件数(ソフトウェア)
評価保証レベル(EAL)
ISO/IEC15408における保証要件は評価保証レベル (EAL: Evaluation Assurance Level) により7段階(EAL1~EAL7)に分類されています。
評価対象 (TOE: Target of Evaluation) の保護資産の価値やセキュリティ機能に要求される信頼度によってEALを選択します。EALは評価対象の検証がどの程度まで行われたかを示す尺度です。
一般に商用ではEAL4が最高レベルと言われており、ITSCでもEAL4まで評価が実施可能です。
IT製品の開発工程と評価作業の関係
下図はIT製品の開発から出荷・導入までの工程とISO/IEC15408に準拠した評価作業の関係を示しています。
上図中の「ASE」クラス、「ADV」クラス等のAで始まる3文字のクラス名称はISO/IEC15408において、保証要件を識別するクラス(保証クラス)です。セキュリティ評価では、評価機関はこれらの保証クラスで規定された要件に合致していることを検証します。
主な保証クラスの概要を下記に示します。どの保証クラスまで検査を行うかはEALによって異なります。
認証を希望されているIT製品に適切なEALが不明な方は、ITSCにご相談ください。
| APEクラス | プロテクションプロファイル評価 PPが正しく記述されていることを検査する。 |
| ASEクラス | セキュリティターゲット評価 STが正しく記述されていることを検査する。 |
| ADVクラス | 開発 STに従って機能仕様書、サブシステム設計書等の開発設計書が正しく記述されていることを検査する。 |
| AGDクラス | ガイダンス文書 TOEをセキュアな状態で使用するために必要な事項がマニュアルとして記述されていることを検査する。 |
| ALCクラス | ライフサイクルサポート 開発から保守に使用する手続きがセキュアで適切に行われたことを検証する。 |
| ATEクラス | テスト TOEがSTでの記述に従って、及び、開発設計書の仕様に従ってふるまうかどうかを、開発者自身の機能テストと評価者による独立テストにより検証する。 |
| AVAクラス | 脆弱性評定 運用環境でのTOEのセキュリティ上の欠陥または弱点が悪用される可能性について確認し、問題のないレベルであることを検証する。 |
お問い合わせ
ITセキュリティ評価についてのお問い合わせは、電話またはお問い合わせ窓口をご利用ください。
