コモンクライテリア認定とは

Common Criteria は、政府が政府機関や重要インフラで使用する製品の認証スキームとして使用するモデルです。また、コモンクライテリア認定によって品質が保証されるため、多くの企業がソフトウェアの選択プロセスでコモンクライテリアを採用しています。

共通基準承認協定（CCRA）は、「情報技術セキュリティ評価の共通基準」と「情報技術セキュリティ評価の共通方法論（CEM）」で定義されています。これらはきわめて一般的な基準であり、セキュリティを保証するものではありません。

ただし、コモンクライテリア認証を取得すると、ベンダーのセキュリティ要求が個別に評価されたことを確認できます。

CC認定は、評価された製品を幅広いユーザーグループに提供し、製品がベンダーの要求に応えることを保証し、ソフトウェア顧客からソフトウェアを評価する負担とコストを削減します。

‍

主な共通基準概念

コモン・クライテリアを理解しようとするときに知っておく必要のある概念は次のとおりです。

‍

• 評価対象 (TOE): これは評価対象の製品またはシステムです。
• セキュリティターゲット (ST): この文書は、評価対象製品のセキュリティ特性を定義します。これにより、ソフトウェアベンダーは自社製品の特定の機能に合わせて評価をカスタマイズできます。また、潜在的な顧客が製品のどのセキュリティ機能がテストされたかを判断するのにも役立ち、より多くの情報に基づいた決定を下すことができます。
• 保護プロファイル (PP): これは、デジタル署名やファイアウォールなど、特定のクラスのセキュリティデバイスのセキュリティ要件を特定するためにユーザーコミュニティが作成するドキュメントです。ベンダーは、1 つ以上の PP に準拠する製品を製造し、その製品を PP と照らし合わせて評価してもらうことができます。ベンダーは PP をモデルとして使用して独自のセキュリティターゲットを作成することもできます。
• セキュリティ機能要件 (SFR): これらには、製品が提供する独自のセキュリティ機能が一覧表示されています。
• セキュリティ保証要件 (SAR): これらは品質保証プロセスで使用され、製品が要求されているセキュリティ基準を満たしていることを確認するために取るべき手順を説明しています。
• 評価保証レベル (EAL): これは、評価の深さと厳しさを説明する数値評価です。各 EAL は一連の SAR に対応しています。コモン・クライテリアには EAL の 7 つのレベルが挙げられており、1 が最も基本的な評価レベル、7 が最も厳しい評価レベルです。

‍

製品が CC 認証を取得する方法

企業がコモンクライテリア認定を受けるには、以下のステップを踏む必要があります。

1. 会社はセキュリティターゲットの説明と補足文書を記入する必要があります。これには、製品の概要、そのセキュリティ機能、および潜在的なセキュリティ上の脅威を含める必要があります。
2. 企業は、自社製品を評価し、その製品について会社が定義したセキュリティ基準を満たしているかどうかを判断するために、独立した認可を受けた研究所を見つける必要があります。
3. 製品が評価に合格すると、多くの証明書作成スキームの1つが認証を発行します。

コモンクライテリアは、コンピュータセキュリティ認定の国際標準です。製品ベンダーは、自社の製品コモンクライテリア認証を取得して自社のセキュリティ主張を証明できます。そうすれば、企業は自社のセキュリティニーズと検証済みの主張を比較して、自社のインフラストラクチャに追加するソフトウェアやシステムを見つけることができます。

‍

さらに詳しく

イルミオのコモンクライテリア認証およびその他の政府セキュリティ認証の詳細については、当社をご覧ください。 認定資格 と政府のページ。