共通基準

コモンクライテリア認証とは何ですか?

コモンクライテリアは、政府機関や重要インフラで使用することを選択した製品の認証スキームとして政府が使用するモデルです。また、多くの企業は、コモンクライテリア認証が保証する品質のために、ソフトウェアの選択プロセスでコモンクライテリアを使用しています。

CCRA(Common Criteria Recognition Arrangement)は、情報技術セキュリティ評価の共通基準および情報技術セキュリティ評価の共通方法論(CEM)で定義されています。これらは非常に一般的な標準であり、セキュリティを保証するものではありません。

ただし、コモンクライテリア認定により、ベンダーのセキュリティ要求が独立して評価されたことを確認できます。

CC認証は、評価された製品を幅広いユーザーが利用できるようにし、製品がベンダーの主張に応えていることを保証し、ソフトウェア顧客からソフトウェアを評価する負担とコストを取り除きます。

コモンクライテリアの主な概念

コモンクライテリアを理解しようとするときに知っておく必要があるいくつかの概念を次に示します。

• 評価対象(TOE): これは、評価されている製品またはシステムです。
• セキュリティターゲット(ST): このドキュメントでは、評価対象の製品のセキュリティ特性を定義します。これにより、ソフトウェアベンダーは、製品の特定の機能に合わせて評価をカスタマイズできます。また、潜在的な顧客が製品のどのセキュリティ機能がテストされたかを判断するのにも役立ち、より多くの情報に基づいた意思決定を行うことができます。
• 保護プロファイル(PP): これは、デジタル署名やファイアウォールなどの特定のクラスのセキュリティデバイスのセキュリティ要件を特定するためにユーザーコミュニティが作成するドキュメントです。仕入先は、1 つ以上の PP に準拠した製品を製造し、それらに対して製品を評価してもらうことを選択できます。ベンダーは、PPをモデルとして使用して、独自のセキュリティターゲットを作成することもできます。
• セキュリティ機能要件 (SFR): これらには、製品によって提供される固有のセキュリティ機能がリストされています。
• セキュリティ保証要件 (SAR): これらは品質保証プロセスで使用され、製品が主張されているセキュリティ基準を満たしていることを確認するために実行する手順を説明します。
• 評価保証レベル(EAL): 評価の深さと厳密さを表す数値評価です。各 EAL は一連の SAR に対応します。コモンクライテリアには、EALの7つのレベルがリストされており、1は最も基本的な評価レベルであり、7は最も厳しい評価レベルです。

製品がCC認証を取得する方法

企業がコモンクライテリア認定を受けるために使用する必要があるいくつかの手順を次に示します。

1. 会社は、セキュリティターゲットの説明とサポート文書を記入する必要があります。これには、製品の概要、そのセキュリティ機能、および潜在的なセキュリティ脅威を含める必要があります。
2. 企業は、自社製品を評価し、製品に対して会社が定義したセキュリティ基準を満たしているかどうかを判断するために、独立した認可を受けた研究所を見つける必要があります。
3. 製品が評価に合格すると、多くの証明書作成スキームの 1 つが認証を発行します。

コモンクライテリアは、コンピュータセキュリティ認証の国際標準です。製品ベンダーは、自社の製品にコモンクライテリア認定を取得して、自社が行うセキュリティの主張を証明し、企業は自社のセキュリティニーズをテストされた主張と比較して、インフラストラクチャに追加するソフトウェアやシステムを見つけることができます。

詳細情報

イルミオのコモンクライテリア認証およびその他の政府セキュリティ認証の詳細については、 認証 と政府のページをご覧ください。