資料3 セキュリティ評価基準に関する国際的動向
平成11年6月にコモンクライテリアと呼ばれるセキュリティ評価基準が、世界標準(IS)化されるなど、国際的なセキュリティ製品の標準化が進んでいる。ISO/IEC15408はセキュリティ機器の強度を客観的に評価するために設けられた国際的な基準である。また、運用組織のセキュリティがきちんと保たれているかをはかる基準として英国がBS7799という基準を提示している。ここでは、これらのセキュリティ評価基準に対する政府の取り組みについて紹介する。
1 セキュリティ評価基準の歴史的経緯
セキュリティ評価基準は、欧米諸国を中心に昭和55年代より、国あるいは地域ごとに構築・運用が行われてきた。オレンジブックとして知られている米国のTCSEC(Department of Defender Trusted Computer System Evaluation Criteria : 昭和58年)は、その先駆けといえるものである。TCSECはそもそも国防総省で使用する情報システムで用いられるセキュリティ製品の調達基準という位置付けだったが、その後調達要件としての適用範囲が米国政府全体に拡大された。
TCSECでは、セキュリティ機能が、アクセス制御の強度に基づいてAからDまでの4つのクラスに分類(クラスB、Cについてはさらに2〜3段階に細分化)され、利用目的にあった機能クラスの製品を選択できる仕組みになっている。この仕組みは、各国のセキュリティ評価基準のモデルともなり、国際標準化された現在でも受け継がれている。
TCSECが作成後、欧州でもイギリス、ドイツ及びフランスが独自に評価基準を策定していたが、EUの市場統合により、ITSEC(Information Trusted Security EvaIuation Criteria : 平成3年)というEU全体での共通基準となった。
インターネットなど国際的な通信網の発達によって、TCSECやITSECといった国や地域ごとに構築されてきたセキュリティ基準を国際的に統合し、標準化する動きが進んでいる。平成9年には、TCSEC、ITSECとカナダのCTPECを統合し、コモンクライテリア(Common Criteria : CC)V2.0が発行された。更に、コモンクライテリアは、国際標準化機構(ISO)のセキュリティ評価基準に採用され、平成11年6月にISO/IEC15408として国際標準化された。
