コモンクライテリア 【CC】 Common Criteria / ISO/IEC 15408 / JIS X 5070 / 情報技術セキュリティの評価基準

概要

コモンクライテリア(CC)とは、情報機器情報システムなどのセキュリティを評価するための基準を定めた国際規格。日本では同様のものが「情報技術セキュリティの評価基準」(JIS X 5070)として規格化されている。

IT機器やソフトウェア、それらを組み合わせた情報システムなどについて、情報セキュリティを確保するための機能や信頼性を評価する枠組みを提供する。対象そのものだけでなく、設計開発プロセスや、利用者への操作説明などにセキュリティを確保するための方針や方策が適切に反映されているかどうかも評価される。

どの程度まで詳しく評価するかは「EAL」(Evaluation Assurance Level)と呼ばれる保証レベルで表され、機能テストのみをなう最も簡易で低コストなEAL1から、設計の形式的検証やテストなどをなう最も厳密だがコストのかかるEAL7まで7段階が定められている。

コモンクライテリアに基づく評価は各国の認証機関(日本では情報処理推進機構)が認定した評価機関がなう。機関が異なっても結果に著しい差が生じないよう、評価手法や判断基準などについて一定の指針を示した「CEM」(Common Evaluation Methodology : 共通評価方法)が定められており、ISO/IEC 18045として標準化されている。

評価結果は「CCRA」(Common Criteria Recognition Arrangement:CC承認アレンジメント)と呼ばれる国際協定により、他の締結国でも有効となる。日米など約20か国が相互承認をっており、他に英国など約10か国が受入国(自国で認証わないが他国の結果は受け入れる)となっている。高いEALの評価は複雑になるため、CCRAの対象となるのはEAL4まで(一部製品はEAL2まで)となっている。

(2023.3.22更新)

他の辞典による解説 (外部サイト)

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。
ホーム画面への追加方法
1.ブラウザの 共有ボタンのアイコン 共有ボタンをタップ
2.メニューの「ホーム画面に追加」をタップ
閉じる