スタンダードというものを一から考えることはありません。普通は、業界の標準を踏襲していきます。つまり、セキュリティ専門家は、確立された業界の標準に精通していなければなりません。NIST、米国国防総省(DoD)、国際標準化機構(ISO)といった、多くの標準化団体が設立されています。もしも、組織のセキュリティポリシーを整備するときや情報システムを作るときにはこの標準に則って進めることを強くお勧め致します。理由の一つは、ルールの根拠を説明する時に、圧倒的に楽になるからです。想像ください。家を買うとき、我流で作りこんでいく大工さんよりも、「業界標準的なやり方で無難に作っています」というのが何より安心します。
セキュリティの評価基準にはいくつかあるので紹介します。TCSEC(オレンジブック)は、米国国防総省によって策定された認証基準です。元々軍用調達のための基準として用いられていましたが、一般に使われるようになりました。これとよく似ているITSECというものもあります。ITSECは、欧州統一の基準として策定された評価基準です。
そしてISO/IEC 15408は、TCSECとITSECが統合され、ISO/IECが策定した国際認証基準です。特別、Common Criteriaとも呼びます。Common Criteriaに中では、いくつかの専門用語が出てきますので、紹介しておきましょう。評価ターゲットとは、診断対象となる製品やシステムのことです。プロテクション・プロファイルとは、製品やシステムに要求されるセキュリティ要件を記載するためのセキュリティ基本設計書のひな型です。これはOS、ICカードなどの製品技術分野ごとに作成され、セキュリティ要件を明示するために使われます。セキュリティターゲットとは、プロテクション・プロファイルのセキュリティ要件を評価ターゲットがどのように実現しているかを製品提供者が提出するものです。
踏襲されていることもあって、TCSEC・ITSEC・CCの評価基準の考え方は非常によく似ています。覚える必要はありませんが、各基準においてどのレベルが他のどのレベルに相当するかはある程度把握できますから、参考情報という名目で様々な評価基準を示すことができるでしょう。
いくつかの標準では、確実にその組織が定義されたセキュリティ評価に則っているかを確認する体制があります。いくら優秀な専門家を雇ったとしても、自己評価は利害が一致している者の評価であるため、外部組織に選んでいただく際には信頼してもらえない可能性があります。そのため、権威のある組織に「ちゃんとセキュリティのことも考えている組織です」とお墨付きをもらう必要があるのです。このセキュリティの評価基準にちゃんと則っているお墨付きをもらうことを、認証といいます。認証とは、ある製品・システム・組織が要件を満たしていることを確認することです。また認定とは、ある組織が組織を認証するに値するかを承認することです。認証する行為は認証するほどの信頼がないといけませんから、確認する組織の確認という手続きが存在しています。
Common Criteriaとは何だろう?