製品セキュリティ認証

サイバーセキュリティ専門家になるための総合学習サイト

製品セキュリティ認証とは

製品セキュリティ認証とは、ある製品に対してセキュリティ専門家のお墨付きをもらうことです。

この製品がセキュリティ的に大丈夫かどうかは、一般人には判断できません。

権威のある組織に、『ちゃんとセキュリティのことも考えている製品です』とお墨付きをもらっていれば、買う側は安心ですね。

有名なやつ

有名なセキュリティ認証は、大きく3つあります。

  • TCSEC(オレンジブック) 米国で主流
  • ITSEC EUで主流
  • CC(ISO/IEC 15408) ISOが策定

大体、以下のような関係性になっています。

TCSEC ITSEC CC
D-C1
最低限のセキュリティ
E0-1
機能テスト
EAL1
C1(DAC)
裁量的
E1, F-C1
構造テスト(非公式の文書が必要)
EAL2
C2(DAC)
アクセス
E2, F-C2
方式テスト及びチェック(非公式の詳細設計書と構成管理が必要)
EAL3
B1(MAC)
ラベル
E3, F-B1
方式設計、テスト及びレビュー
EAL4
B2(MAC)
構築的
E4, F-B2
準形式的設計及びテスト(セキュリティポリシーの公式モデル)
EAL5
B3(MAC)
セキュリティ領域の区分化
E5, F-B3
準形式検証済み設計及びテスト(脆弱性試験にソースコードを用いる)
EAL6
A
保証済み
E6, F-B3
形式的検証済み設計及びテスト(試験知らずのドキュメント)
EAL7
F6(F-IN)
完全性
F7(AV)
可用性
F8(DI)
データ通信時の完全性
F9(DC)
データ通信時の機密性
F10(DX)
データ通信時の機密性と完全性