情報システムのセキュリティレベル評価規格(ISO/IEC15408) [情報セキュリティ]
ISO/IEC15408の概要
ISO/IEC15408は、IT関連製品や情報システムのセキュリティレベルを評価するための、国際規格です。評価対象はOS、アプリケーション、通信機器、情報家電など、セキュリティ機能を備えた全てのIT関連製品や、それらを組み合わせた情報システムになります。
対象は製品やシステムに限り、企業全体やセキュリティ既定の整備状況・運用状況などは評価しません。
IT関連商品や情報システムに必要なセキュリティ対策が実装されているかを評価し、導入後の運用状況などの監査は対象外となります。
ISO/IEC15408の構成
ISO/IEC15408は、概説と一般モデル、セキュリティ機能コンポネント、セキュリティ保証コンポネントの三つのパートから構成されます。
Part3:セキュリティ保証コンポネントでは、EAL(Evaluation Assurance Level)と呼ばれる評価保証レベルを7段階で規定しています。一般の商用製品に求められるのはEAL3~4程度と言われています。
ISO/IEC15408適用による効果
開発者にとって、国際的に通用するセキュリティ品質を持った製品の出荷が可能となります。また、ある程度の宣伝効果も期待でき、ユーザにとっては、セキュリティ面での不安が軽減されます。
ISO/IEC15408に関する国内対応状況
2000.7にJIS化が行われ、JIS X 5070:2000として発行されました。内容はISO/IEC15408:1999と同等です。
ISO/IEC15408は、IT関連製品や情報システムのセキュリティレベルを評価するための、国際規格です。評価対象はOS、アプリケーション、通信機器、情報家電など、セキュリティ機能を備えた全てのIT関連製品や、それらを組み合わせた情報システムになります。
対象は製品やシステムに限り、企業全体やセキュリティ既定の整備状況・運用状況などは評価しません。
IT関連商品や情報システムに必要なセキュリティ対策が実装されているかを評価し、導入後の運用状況などの監査は対象外となります。
ISO/IEC15408の構成
ISO/IEC15408は、概説と一般モデル、セキュリティ機能コンポネント、セキュリティ保証コンポネントの三つのパートから構成されます。
- Part1:概説と一般モデル
情報処理製品や情報処理システムの開発に際し、最重要事項としてセキュリティ基本設計書を作成することを規定 - Part2:セキュリティ機能コンポネント
製品やシステムに対し、セキュリティ対策として実装すべき機能に関する要件を11項目(機能クラス)が規定されている - Part3:セキュリティ保証コンポネント
Part2:セキュリティ機能コンポネントが正しく実装されていることを保証するための要件8項目(保証クラス)が規定されている
Part3:セキュリティ保証コンポネントでは、EAL(Evaluation Assurance Level)と呼ばれる評価保証レベルを7段階で規定しています。一般の商用製品に求められるのはEAL3~4程度と言われています。
- EAL1:機能テスト
- EAL2:構造化テスト
- EAL3:方式的テスト、及びチェック
- EAL4:方式的設計、テスト、及びレビュー
- EAL5:準形式的設計、及びテスト
- EAL6:準形式的検証済み設計、及びテスト
- EAL7:形式的検証済み設計、及びテスト
ISO/IEC15408適用による効果
開発者にとって、国際的に通用するセキュリティ品質を持った製品の出荷が可能となります。また、ある程度の宣伝効果も期待でき、ユーザにとっては、セキュリティ面での不安が軽減されます。
ISO/IEC15408に関する国内対応状況
2000.7にJIS化が行われ、JIS X 5070:2000として発行されました。内容はISO/IEC15408:1999と同等です。
情報処理教科書 情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)
- 作者: 上原 孝之
- 出版社/メーカー: 翔泳社
- 発売日: 2013/09/13
- メディア: 単行本(ソフトカバー)
2014-01-22 00:00
nice!(0)
コメント(0)
トラックバック(0)
コメント 0