製品セキュリティ認証

製品セキュリティ認証とは

製品セキュリティ認証とは、ある製品に対してセキュリティ専門家のお墨付きをもらうことです。

この製品がセキュリティ的に大丈夫かどうかは、一般人には判断できません。権威のある組織に、『ちゃんとセキュリティのことも考えている製品です』とお墨付きをもらっていれば、買う側は安心ですね。

有名なセキュリティ認証

有名なセキュリティ認証は、大きく3つあります。

  • TCSEC(オレンジブック) 米国国防総省下の NSA(国家安全保障局)内の NCSC(米国コンピュータセキュリティセンター)によりに策定された、軍用調達のための認証基準です。レインボーシリーズの一つであり、ドキュメントの色がオレンジであるためオレンジブックとも呼ばれる。
  • ITSEC 欧州統一評価基準として策定され評価基準です。TCSECは機密性だけを強調したこととは異なり、ITSECは完全性と可用性を包括しています。
  • CC(ISO/IEC 15408) TCSECとITSECが統合され、ISO/IECが策定した国際認証基準です。

大体、以下のような関係性になっています。

TCSEC ITSEC CC
D-C1
最低限のセキュリティ
E0-1
機能テスト
EAL1
C1(DAC)
裁量的
E1, F-C1
構造テスト(非公式の文書が必要)
EAL2
C2(DAC)
アクセス
E2, F-C2
方式テスト及びチェック(非公式の詳細設計書と構成管理が必要)
EAL3
B1(MAC)
ラベル
E3, F-B1
方式設計、テスト及びレビュー
EAL4
B2(MAC)
構築的
E4, F-B2
準形式的設計及びテスト(セキュリティポリシーの公式モデル)
EAL5
B3(MAC)
セキュリティ領域の区分化
E5, F-B3
準形式検証済み設計及びテスト(脆弱性試験にソースコードを用いる)
EAL6
A
保証済み
E6, F-B3
形式的検証済み設計及びテスト(試験知らずのドキュメント)
EAL7
F6(F-IN)
完全性
F7(AV)
可用性
F8(DI)
データ通信時の完全性
F9(DC)
データ通信時の機密性
F10(DX)
データ通信時の機密性と完全性