日本における評価基準の取組みとしては、まず日本電子工業振興協会(JEIDA)のセキュリティ評価プロジェクトがあげられる。JEIDAでは、昭和62年の「コンピュータセキュリティ専門委員会」設置後、米国や欧州における評価基準の調査を開始した。平成3年に設置した「セキュリティ委員会」のもと、セキュリティ評価の手続きや認証に関する調査を進め、平成9年にはコンピュータ・セキュリティ基本要件(機能編)を発行し、セキュリティ評価基準の日本への導入に尽力した。このJEIDAのプロジェクトを継承し、日本におけるセキュリティ評価技術の確立、新評価手法の実証を目的に、IPAセキュリティセンター内にCCTF(コモンクライテリア タスクフォース)が設置され、活動を行っている。
しかし、セキュリティ評価基準への日本の取り組みが遅れていることは否めない。
今後は、IPAを中心として、認証機関、認定機関等必要な体系作りを進めるとともに、セキュリティ評価技術や評価手法を確立して、JIS化される見通しである。
3 コモンクライテリア・ISO/IEC15408
コモンクライテリア(CC: Common Criteria for IT Security Evaluation)とは、情報技術セキュリティ評価のための共通基準のことである。平成11年6月に世界標準化されて、ISO/IEC15408となった。コモンクライテリアとISO/IEC15408は、記述がISOの基準に沿ったものになっただけで、内容は同じである。
ISO/IEC15408は、情報技術を用いた製品やシステムが備えるべきセキュリティ機能に関する要件(機能要件)や、設計から製品化に至る過程で、セキュリティ機能が確実に実現されていることの確認を求める要件(保証要件)が集められた「要件集」である。
これまで、セキュリティに関しては、対象となる製品やシステムが持つ潜在的な価値や、これらがその組織で果たす機能や役割、あるいは、その効果といったものを定量的に把握するのが難しいことから、セキュリティ確保のために投資すべきコストの正当性を主張しにくいといわれてきた。
しかし、ISO/IEC15408という要件集があることにより、情報技術セキュリティを、より的確に捉えられるようになる。これによりユーザは、その製品あるいはシステムが組織の情報資産を保護する上でどのように働き、実際に自分達の企業に導入した場合、その使用に当たっては自分達の考えている目的や利用環境にどの程度合致しているかについて、系統的に検討することが可能となる。
