トレンド解説

情報セキュリティ国際評価基準とは? 10分でわかりやすく解説

アイキャッチ
目次

UnsplashKiwihugが撮影した写真      

情報セキュリティ製品やサービスを利用する際、その信頼性を見極めることは容易ではありません。情報セキュリティ国際評価基準は、そうした課題を解決するための国際的な規格です。この記事では、情報セキュリティ国際評価基準の概要や目的、具体的な評価プロセスや認証制度について、10分でわかりやすく解説します。情報セキュリティ国際評価基準への理解を深めることで、自社のセキュリティ対策の強化や、信頼できる製品・サービスの選定に役立てることができるでしょう。

情報セキュリティ国際評価基準とは

情報セキュリティ国際評価基準の定義

情報セキュリティ国際評価基準とは、情報セキュリティ製品やシステムの信頼性を評価するための国際的な規格のことを指します。この規格は、情報セキュリティ製品・システムの機能や性能、運用管理体制などを客観的に評価し、一定の基準を満たしているかどうかを判断するための指標となります。

情報セキュリティ国際評価基準の目的

情報セキュリティ国際評価基準の主な目的は以下の通りです。

  1. 情報セキュリティ製品・システムの信頼性を客観的に評価し、利用者に分かりやすく示すこと
  2. 情報セキュリティ製品・システムの品質向上を促進すること
  3. 情報セキュリティ製品・システムの国際的な相互運用性を確保すること

これらの目的を達成するために、情報セキュリティ国際評価基準では、セキュリティ機能の適切性や運用管理体制の妥当性などを多角的に評価します。評価結果は利用者にとって分かりやすい形で示され、製品・システム選定の判断材料として活用されます。

情報セキュリティ国際評価基準の必要性

情報セキュリティ国際評価基準が必要とされる背景には、以下のような理由があります。

  • 情報セキュリティ製品・システムの信頼性に対する社会的な要請の高まり
  • サイバー攻撃の高度化・巧妙化に伴う情報セキュリティリスクの増大
  • クラウドサービスなどの普及に伴う情報セキュリティ製品・システムの利用形態の多様化

このような状況の中で、情報セキュリティ製品・システムの信頼性を客観的に評価し、利用者が安心して選択・利用できる環境を整備することが重要な課題となっています。情報セキュリティ国際評価基準は、こうした課題に対応するための有力なツールの一つと言えるでしょう。

情報セキュリティ国際評価基準の歴史

情報セキュリティ国際評価基準の歴史は、以下のような経緯をたどっています。

年代出来事
1980年代米国国防総省がセキュリティ評価基準「TCSEC」を策定
1990年代欧州各国が情報セキュリティ評価基準「ITSEC」を策定
1999年国際標準化機構(ISO)が「コモンクライテリア(CC)」を国際標準として制定
2000年代以降各国でコモンクライテリア に基づく評価・認証制度の整備が進む

現在では、コモンクライテリアが情報セキュリティ国際評価基準の中心的な存在となっており、各国の政府機関や企業などで広く活用されています。今後も、サイバー攻撃の動向や情報セキュリティ技術の進歩に合わせて、情報セキュリティ国際評価基準の内容が継続的に改善されていくことが期待されます。

情報セキュリティ国際評価基準の概要

情報セキュリティ国際評価基準は、情報セキュリティ製品やシステムの信頼性を評価するための国際的な規格です。この規格は、情報セキュリティ製品・システムの機能や性能、運用管理体制などを客観的に評価し、一定の基準を満たしているかどうかを判断するための指標となります。

情報セキュリティ国際評価基準の目的は、以下の3つに大別されます。

  1. 情報セキュリティ製品・システムの信頼性を客観的に評価し、利用者に分かりやすく示すこと
  2. 情報セキュリティ製品・システムの品質向上を促進すること
  3. 情報セキュリティ製品・システムの国際的な相互運用性を確保すること

近年、サイバー攻撃の高度化・巧妙化に伴い、情報セキュリティ製品・システムの信頼性に対する社会的な要請が高まっています。また、クラウドサービスなどの普及により、情報セキュリティ製品・システムの利用形態も多様化しています。このような状況の中で、情報セキュリティ製品・システムの信頼性を客観的に評価し、利用者が安心して選択・利用できる環境を整備することが重要な課題となっています。情報セキュリティ国際評価基準は、こうした課題に対応するための有力なツールの一つと言えるでしょう。

情報セキュリティ国際評価基準の構成

情報セキュリティ国際評価基準は、主に以下の3つの部分から構成されています。

  1. 評価対象製品・システムのセキュリティ機能を定義する「セキュリティ機能要件」
  2. 評価対象製品・システムの開発・運用管理体制を定義する「保証要件」
  3. 評価プロセスや評価結果の表示方法などを定義する「評価方法」

セキュリティ機能要件では、評価対象製品・システムが備えるべきセキュリティ機能(例:アクセス制御、暗号化、監査など)の種類や強度が規定されます。保証要件では、評価対象製品・システムの開発・運用管理体制(例:設計プロセス、テスト体制、脆弱性対応体制など)の妥当性が規定されます。評価方法では、これらの要件への適合性を評価するためのプロセスや評価結果の表示方法などが規定されます。

これらの構成要素が有機的に組み合わされることで、情報セキュリティ国際評価基準は、情報セキュリティ製品・システムの信頼性を多角的かつ客観的に評価するための枠組みを提供しています。

情報セキュリティ国際評価基準の評価レベル

情報セキュリティ国際評価基準では、評価対象製品・システムのセキュリティ機能と保証レベルに応じて、複数の評価レベルが定義されています。代表的な評価レベルとしては、以下のようなものがあります。

  • EAL1:機能テストレベル
  • EAL2:構造テストレベル
  • EAL3:方法論的テストと検査レベル
  • EAL4:方法論的設計、テスト、レビューレベル
  • EAL5:準形式的設計とテストレベル
  • EAL6:準形式的検証設計とテストレベル
  • EAL7:形式的検証設計とテストレベル

数字が大きくなるほど、要求されるセキュリティ機能と保証レベルが高くなります。例えば、EAL1は最も基本的な評価レベルで、主に機能テストによる評価が行われます。一方、EAL7は最も高度な評価レベルで、形式手法による設計検証やテストが要求されます。

評価レベルの選択は、評価対象製品・システムの用途や求められる信頼性のレベルに応じて、調達者と開発者の間で協議の上で決定されます。一般に、高い評価レベルを取得するためには、より厳格な開発・運用管理体制の構築が必要となります。

情報セキュリティ国際評価基準の評価プロセス

情報セキュリティ国際評価基準に基づく評価は、以下のようなプロセスで行われます。

  1. 評価対象製品・システムの開発者が、セキュリティ設計仕様書や테スト結果などの評価エビデンスを準備する。
  2. 開発者が、評価機関に評価の依頼を行う。
  3. 評価機関が、提出された評価エビデンスを審査し、セキュリティ機能要件と保証要件への適合性を評価する。
  4. 評価機関が、評価結果を認証機関に報告する。
  5. 認証機関が、評価結果を審査し、認証の可否を判断する。
  6. 認証が得られた場合、評価対象製品・システムに認証マークが付与される。

評価プロセスの各段階では、評価機関と認証機関による厳格なチェックが行われます。評価の客観性と公平性を確保するため、評価機関と認証機関は、開発者から独立した第三者機関である必要があります。

また、評価プロセスを通じて、開発者は自社の製品・システムのセキュリティ品質を客観的に評価してもらうことが可能になります。評価結果をフィードバックとして活用することで、セキュリティ品質の更なる向上を図ることが可能です。

情報セキュリティ国際評価基準の認証制度

情報セキュリティ国際評価基準に基づく認証制度は、各国の政府機関や認証機関によって運営されています。代表的な認証制度としては、以下のようなものがあります。

  • 日本:JISEC(Japan Information Technology Security Evaluation and Certification Scheme)
  • アメリカ:NIAP(National Information Assurance Partnership)
  • カナダ:CSEC(Communications Security Establishment Canada)
  • ドイツ:BSI(Bundesamt für Sicherheit in der Informationstechnik)
  • フランス:ANSSI(Agence Nationale de la Sécurité des Systèmes d'Information)
  • イギリス:NCSC(National Cyber Security Centre)

これらの認証制度は、情報セキュリティ国際評価基準の共通の枠組みに基づきつつ、各国の法制度や社会環境に合わせて運用されています。認証制度間の相互承認を進めることで、グローバルなサプライチェーンにおける情報セキュリティ製品・システムの相互運用性の確保が図られています。

情報セキュリティ国際評価基準の認証を取得することで、開発者は自社製品・システムの信頼性を客観的に示すことができるでしょう。また、調達者は認証取得製品・システムを選択することで、一定のセキュリティ品質が確保された製品・システムを調達することができます。今後も、サイバー攻撃の脅威が高まる中で、情報セキュリティ国際評価基準の重要性は増していくものと考えられます。

情報セキュリティ国際評価基準の適用範囲

情報セキュリティ国際評価基準は、幅広い情報セキュリティ製品・システムの評価に適用することができます。ここでは、情報セキュリティ国際評価基準の適用範囲について、対象製品、適用業界、適用地域、適用事例の観点から解説します。

情報セキュリティ国際評価基準の対象製品

情報セキュリティ国際評価基準の対象となる製品・システムには、以下のようなものがあります。

  • ファイアウォール
  • 侵入検知システム(IDS)・侵入防止システム(IPS)
  • アンチウイルスソフトウェア
  • 暗号化製品(SSL/TLSモジュール、IPSecモジュールなど)
  • 認証製品(ICカード、バイオメトリクス認証システムなど)
  • データベースセキュリティ製品
  • アプリケーションセキュリティ製品

これらの製品・システムは、情報セキュリティにおいて重要な役割を果たすものであり、その信頼性を客観的に評価することが求められています。情報セキュリティ国際評価基準は、こうした幅広い製品・システムの評価に適用可能な枠組みを提供しています。

情報セキュリティ国際評価基準の適用業界

情報セキュリティ国際評価基準は、以下のような業界で広く活用されています。

  • 政府機関・自治体
  • 金融機関
  • 医療機関
  • 教育機関
  • 情報通信事業者
  • 製造業
  • サービス業

これらの業界では、機密情報の保護や個人情報の管理など、高度な情報セキュリティ対策が求められます。情報セキュリティ国際評価基準に基づく製品・システムの導入は、こうした業界の情報セキュリティ対策の強化に寄与するものと期待されています。

情報セキュリティ国際評価基準の適用地域

情報セキュリティ国際評価基準は、以下のような地域で広く適用されています。

  • 日本
  • 北米(アメリカ、カナダ)
  • 欧州(ドイツ、フランス、イギリスなど)
  • アジア・オセアニア(オーストラリア、韓国、シンガポールなど)

各国・地域では、情報セキュリティ国際評価基準に基づく認証制度が整備され、情報セキュリティ製品・システムの評価・認証が行われています。こうした認証制度の相互承認を通じて、グローバルなサプライチェーンにおける情報セキュリティの確保が図られています。

情報セキュリティ国際評価基準の適用事例

情報セキュリティ国際評価基準の適用事例としては、以下のようなものがあります。

  • 政府調達における情報セキュリティ製品・システムの選定基準への適用
  • 重要インフラ事業者における情報セキュリティ対策の一環としての適用
  • 金融機関におけるオンラインバンキングシステムのセキュリティ評価への適用
  • 医療機関における電子カルテシステムのセキュリティ評価への適用
  • クラウドサービス事業者におけるセキュリティ管理体制の評価への適用

これらの事例に見られるように、情報セキュリティ国際評価基準は、様々な分野・用途において、情報セキュリティ製品・システムの信頼性を確保するための有力なツールとして活用されています。今後も、サイバー攻撃の脅威が高まる中で、情報セキュリティ国際評価基準の適用範囲は拡大していくものと考えられます。

情報セキュリティ国際評価基準の導入メリット

情報セキュリティ国際評価基準による信頼性の向上

情報セキュリティ国際評価基準を導入することで、自社のシステムやサービスの信頼性を客観的に示すことが可能になります。第三者機関による厳格な評価を受けることで、利用者からの信頼を獲得し、ビジネスの安定的な運営につなげることが可能です。また、セキュリティ対策の適切性を証明することで、システムトラブルや情報漏洩などのリスクを低減し、事業継続性の向上が期待できます。

情報セキュリティ国際評価基準による差別化

情報セキュリティ国際評価基準の認証を取得することで、競合他社との差別化を図ることができるでしょう。特に、セキュリティ要件の高い政府機関や大手企業との取引においては、認証取得が調達条件として求められるケースも増えています。認証を取得している企業は、セキュリティ品質の高さをアピールでき、競争力の強化につながります。

情報セキュリティ国際評価基準による市場競争力の強化

グローバル市場での競争力を高めるためには、国際的に認知された情報セキュリティ評価基準への対応が不可欠です。情報セキュリティ国際評価基準は、各国の認証制度間での相互承認が進んでおり、1つの認証を取得することで、複数の国・地域での市場参入が容易になります。評価基準への適合性を示すことで、グローバルなサプライチェーンへの参画機会の拡大が期待できます。

情報セキュリティ国際評価基準による国際的な認知度の向上

情報セキュリティ国際評価基準の認証取得は、自社の情報セキュリティ対策に対する姿勢を国際的にアピールする良い機会となります。認証ロゴをWebサイトや製品カタログに掲載することで、セキュリティ品質の高さを効果的にPRすることが可能になります。こうした取り組みを通じて、ブランドイメージの向上や知名度の向上を図ることができるでしょう。また、国際会議やセミナーでの発表実績なども、企業の国際的な認知度向上に役立ちます。

以上のように、情報セキュリティ国際評価基準の導入は、信頼性の向上、差別化、市場競争力の強化、国際的な認知度の向上など、様々なメリットをもたらします。自社のシステムやサービスのセキュリティ品質を高め、ビジネスの発展につなげていくためには、情報セキュリティ国際評価基準への対応が有効な選択肢の一つといえるでしょう。ただし、認証取得にはコストと時間がかかるため、自社の事業戦略や市場ニーズを踏まえて、慎重に検討を進めていくことが重要です。

まとめ

情報セキュリティ国際評価基準は、情報セキュリティ製品やサービスの信頼性を客観的に評価するための国際的な規格です。第三者機関による厳格な評価を通じて、セキュリティ品質の高さを示すことができ、利用者からの信頼獲得やビジネスの安定的な運営につながります。また、認証取得によって競合他社との差別化を図ることができ、グローバル市場での競争力強化にも役立ちます。自社のシステムやサービスのセキュリティレベルを向上させ、ブランドイメージや国際的な認知度を高めていくためには、情報セキュリティ国際評価基準への対応が有効な選択肢の一つといえるでしょう。

記事を書いた人

ソリトンシステムズ・マーケティングチーム

Related Article

関連記事

タイポスクワッティングとは? 10分でわかりやすく解説の画像
トレンド解説

タイポスクワッティングとは? 10分でわかりやすく解説

  • コラム
More
MISIとは? 10分でわかりやすく解説の画像
トレンド解説

MISIとは? 10分でわかりやすく解説

  • コラム
More
ASPサービスとは? 10分でわかりやすく解説の画像
トレンド解説

ASPサービスとは? 10分でわかりやすく解説

  • コラム
More
バンドステアリングとは? 10分でわかりやすく解説の画像
トレンド解説

バンドステアリングとは? 10分でわかりやすく解説

  • コラム
More

Pickup ピックアップ

特集一覧

Category カテゴリー

Keyword キーワード

製造 金融 流通・小売 建設 医療 エネルギー 運輸 サービス 情報通信 中央省庁・独法 自治体・地方公共団体 教育・文教 認証 エンドポイント ネットワーク ゼロトラスト 販売店インタビュー メーカーインタビュー 社内インタビュー セミナーレポート 展示会・フェアレポート サイバーセキュリティ リモートアクセス テレワーク 社内LAN 無線LAN プロダクト検証 サプリカント設定 技術解説記事 調査報告 Windows iOS macOS Android ChromeOS DHCP/DNS Soliton OneGate NetAttest EPS NetAttest D3 SmartOn ID InfoTrace 360 Soliton SecureBrowser Soliton SecureDesktop WrappingBox FileZen S VVAULT コラム 調査レポート目次