コモンクライテリア 【CC】 Common Criteria / ISO/IEC 15408 / JIS X 5070 / 情報技術セキュリティの評価基準
概要
コモンクライテリア(CC)とは、情報機器や情報システムなどのセキュリティを評価するための基準を定めた国際規格。日本では同様のものが「情報技術セキュリティの評価基準」(JIS X 5070)として規格化されている。IT機器やソフトウェア、それらを組み合わせた情報システムなどについて、情報セキュリティを確保するための機能や信頼性を評価する枠組みを提供する。対象そのものだけでなく、設計・開発のプロセスや、利用者への操作説明などにセキュリティを確保するための方針や方策が適切に反映されているかどうかも評価される。
どの程度まで詳しく評価するかは「EAL」(Evaluation Assurance Level)と呼ばれる保証レベルで表され、機能テストのみを行なう最も簡易で低コストなEAL1から、設計の形式的検証やテストなどを行なう最も厳密だがコストのかかるEAL7まで7段階が定められている。
コモンクライテリアに基づく評価は各国の認証機関(日本では情報処理推進機構)が認定した評価機関が行なう。機関が異なっても結果に著しい差が生じないよう、評価手法や判断基準などについて一定の指針を示した「CEM」(Common Evaluation Methodology : 共通評価方法)が定められており、ISO/IEC 18045として標準化されている。
評価結果は「CCRA」(Common Criteria Recognition Arrangement:CC承認アレンジメント)と呼ばれる国際協定により、他の締結国でも有効となる。日米など約20か国が相互承認を行っており、他に英国など約10か国が受入国(自国で認証は行わないが他国の結果は受け入れる)となっている。高いEALの評価は複雑になるため、CCRAの対象となるのはEAL4まで(一部製品はEAL2まで)となっている。
(2023.3.22更新)