また、評価基準の策定とともに、評価認証を行う制度作りも各国で独自に行われてきた。しかし、各国がそれぞれセキュリティ評価制度を持つようになると、メーカーにとってはひとつの製品がそれぞれの国の評価基準に沿って評価を受ける必要がでてきた。

しかし、評価のためには膨大なコストと期間を要するため、メーカーにとって負担であると同時に製品価格という形でユーザにも跳ね返ってくることになる。この評価費用と期間の増加を抑えるために、ある一国のセキュリティ評価を受けた製品は、基準が同等であれば他の国でも通用するようにするという発想が生まれてきた。お互いに相手国で評価をうけた製品と、その評価結果を認めることを相互承認(MRA)という。この国際的な相互承認は平成10年10月に英米独仏加の5カ国間で合意がなされた。

一方、評価承認制度も、コモンクライテリアベースのものに統一する動きも平成10年から進んでいる。

　

国際的なセキュリティ評価基準の標準化の歩み

(出典 : IPA Webサイト)

　

2　日本の状況

日本国内には欧米各国のようなセキュリティ評価・認証制度、セキュリティ評価基準はそもそもなかった。しかし、電子商取引の発展に伴う、民間部門でのITセキュリティの重要性の高まりや、ISO/IEC15408をはじめとしたセキュリティ評価の国際的な展開をうけて、今後、情報処理事業協会(IPA)を中心として、ISO/IEC15408を評価基準として採用し、JIS化する方針である。

前ページ　　　目次へ　　　次ページ