これまでに何度か取り上げてきた情報セキュリティ問題がますますエスカレートしています。こうした中で、企業の情報セキュリティに対する取り組みを評価する手段として、、国際的なセキュリティ評価基準を実施するケースが増えてきたことが報じられています。
情報セキュリティ評価に関する代表的な国際規格がISO/IEC 15408 です。この内容は、JIS X 5070「セキュリティ技術?情報技術セキュリティの評価基準」として日本工業規格になっています。ISO/IEC 15408は国際標準化組織であるISO(国際標準化機構)とIEC(国際電気標準会議)が合同で作成したものですが、これに先立って、米国の国防総省が作成した情報システムのセキュリティ評価基準や、欧州各国の共通セキュリティ評価基準がありました。
ISO/IEC 15408 (JIS X 5070)は、概要と一般モデル、セキュリティ機能要件、セキュリティ保証要件の3部構成になっています。
第1部は情報機器やシステムのセキュリティ設計手順や開発の指針となります。
第2部ではセキュリティの機能要件を11種類に分類して、それぞれの内容を詳しく説明しています。11種類の項目は、セキュリティ監査、通信、暗号サポート、利用者データ保護、識別と認証、セキュリティ管理、プライバシー、評価対象のセキュリティ保護、資源利用、評価対象アクセス、高信頼パス・チャネル、です。
第3部ではEAL1?7という7種類の評価保証レベル(EAL)を規定しています。番号が大きいほどセキュリティ保証レベルが高くなります。おおむねEAL1?4は民生用、EAL5?7は政府機関や軍用のレベルです。
日本国内では(独)製品評価技術基盤機構(NITE)がISO15408認証を行っています。企業の経営者やセキュリティ管理者はこのような規格を理解して、どう取り組むかという意志決定をしなければならない時代になってきました。
都丸敬介(2005.11.20)
スポンサーリンク