コモンクライテリア【CC】Common Criteria
別名 :ISO/IEC 15408/JIS X 5070/情報技術セキュリティの評価基準
コモンクライテリアとは?
IT機器やソフトウェア、それらを組み合わせた情報システムなどについて、情報セキュリティを確保するための機能や信頼性を評価する枠組みを提供する。対象そのものだけでなく、設計・開発のプロセスや、利用者への操作説明などにセキュリティを確保するための方針や方策が適切に反映されているかどうかも評価される。
どの程度まで詳しく評価するかは「EAL」(Evaluation Assurance Level)と呼ばれる保証レベルで表され、機能テストのみを行なう最も簡易で低コストなEAL1から、設計の形式的検証やテストなどを行なう最も厳密だがコストのかかるEAL7まで7段階が定められている。
コモンクライテリアに基づく評価は各国の認証機関(日本では情報処理推進機構)が認定した評価機関が行なう。機関が異なっても結果に著しい差が生じないよう、評価手法や判断基準などについて一定の指針を示した「CEM」(Common Evaluation Methodology : 共通評価方法)が定められており、ISO/IEC 18045として標準化されている。
評価結果は「CCRA」(Common Criteria Recognition Arrangement:CC承認アレンジメント)と呼ばれる国際協定により、他の締結国でも有効となる。日米など約20か国が相互承認を行っており、他に英国など約10か国が受入国(自国で認証は行わないが他国の結果は受け入れる)となっている。高いEALの評価は複雑になるため、CCRAの対象となるのはEAL4まで(一部製品はEAL2まで)となっている。
関連用語
関連リンク (外部サイト)
他の辞典等による「コモンクライテリア」の解説 (外部サイト)
- ウィキペディア「コモンクライテリア」
- 総務省 国民のためのサイバーセキュリティサイト 用語集「ISO/IEC15408」
- SOMPO CYBER SECURITY サイバーセキュリティ用語集「コモンクライテリア」
- @IT セキュリティ用語事典「ISO/IEC15408」
- ミツエーリンクス Web「経営革新ツール」用語集「ISO/IEC 15408」
- NECソリューションイノベータ セキュリティ用語集「Common Criteria」
- PC Magazine (英語)「Common Criteria」
本ページを参照・引用している文書・論文など (外部サイト)
- 東京都産業労働局「【詳細解説】セキュリティ評価認証制度(CC)と政府情報システムのためのセキュリティ評価制度(ISMAP)の目的・対象、特徴および補完関係」にて参照 (2025年9月)
共有ボタンをタップ