「ISO/IEC15408」国際社会を生き抜くために

世界で通用するためには、国際標準のシステムが必須

経営のグローバル化が急激に進む中、上場企業にとって事業の国際展開は必至です。国際的に通用する企業になるためには、国際的な基準を満たした製品が必要です。そして現在、ITはあらゆる業務で不可欠です。つまり、ITを導入する際には、国際基準を念頭に置く必要があるということです。

しかし日本では、上場しているかどうかにかかわらず、いまだに主観的な独自の基準でシステムを導入しています。自社内だけで業務が完結するのであれば構いませんが、そうでない場合は、これでは通用しません。例えば、自社製品の情報セキュリティを客観的な基準なしで説明するのは、非常に困難か、あるいは、説明しても説得力に欠けるでしょう。

上場企業では投資家への説明責任も生じますから、国際基準のような客観的な基準が、より重要になります。

国際標準化機構（International Organization for Standardization）という機関があります。これは、ネジ1本から、医療／農業などさまざまな分野の「国際規格」（最も客観性の高い規格）を決める機関であり、ISOの名称で規格そのものも表します。

ISO規格の表記は「ISOXXXXX」と数字が続き、Xが規格番号を示します。IT関連製品のセキュリティに関する標準規格は「15408」です。

「ISO/IEC15408」という表記がありますが、ISOの後ろに付くIECは、国際電気標準会議（International Electrotechnical Commission、通称はIEC）を指します。IECは電気／電子技術分野の国際規格を作っており、ISOとカバー範囲が重なるので、ISOとIECによる合同委員会が設けられています。そのため、「ISO/IEC15408」と併記されています。

ISO/IEC15408とは具体的にどのようなものか？最終回の今回は、国際標準である「ISO」に焦点をあて、特に国際展開を視野に入れた上場企業向けに、国際規格の重要性を、今後の展開についての予想も含めて解説します。

ISO/IEC15408 CCは加盟国が相互に認証

ISO/IEC15408は、IT製品のセキュリティ機能についての認証の仕組みであり、国際評価基準です。セキュリティの観点から適切に設計／実装されているかどうかを、世界的な標準から第三者が客観的に評価します。このISO/IEC15408は、コモン・クライテリア（Common Criteria、通称CC）とも呼ばれています。

CCには、2009年11月現在、26カ国が加盟しています。加盟国は14カ国の「Certificate Authorizing Participants（認証国）」と12カ国の「Certificate Consuming Participants（受入国）」に分かれ、ある認証国においてISO/IEC15408（CC）に基づいて評価認証されたIT製品システムは、他の認証国／受入国でも認証の効力を持つことになり、これを「CC承認アレンジメント（CCRA）」と呼びます。日本は2003年10月に「認証国」としてCCRAに加盟しました。

ISO/IEC15408は、海外では広く普及していますが、日本では知名度が低く、普及しているとは言えません。国内ベンダーの製品でこの規格認証を取得しているのは、海外向けの製品が大半です。海外向けの場合は、ベンダー側にも国際基準が重要だという風土が見られます。また、そもそも政府調達品のようにISO/IEC15408の取得が義務付けられているケースもあります。

ISO/IEC15408には、評価保証レベル（Evaluation Assurance Level、以下EAL）があり、1～7レベルまで設定されています。保証の程度／範囲を示し、レベルが高いほど保証／範囲が厳密になります。ハミングヘッズのソフト「セキュリティプラットフォーム」（以下、SeP）は、ソース・コードを開示しない範囲では最高レベルのEAL3を取得しています（2009年8月現在）。

ほかのISO規格に目を向けると、製品の品質に関するマネジメント体制を評価する「ISO9001」の場合は、日本国内でも認知度が高く、実益もあります。例えば「ISO9001を取得していないと公共事業を受注しにくい」といったデメリットがあります。この一方、「ISO/IEC15408」では、政府の調達基準においても「推奨レベル」にとどまっているのが現状です。

次ページからは、国内における国際基準の導入動向の実態や、国際基準の導入で得られるメリットなどを紹介します。