「ISO/IEC15408」国際社会を生き抜くために

欧米が規格に食い込み、日本は追従するだけに

日本は、「USBメモリ」や「モバイルPC」を使用不可としている企業が多いです。それは社員が自宅で使用した「USBメモリ」を経由して社内にマルウエアが侵入したり、社内情報が入った「モバイルPC」を紛失して顧客情報が流出するといったリスクがあるからです。

一方で、米国では、USBメモリなどの外部媒体そのものにワクチン・ソフトを入れたり、あるいは暗号化したりと、技術によってセキュリティ・リスクを解決しようとしており、USBメモリやモバイルPCに関する暗号化／ウイルス対策技術が先行しています。

ほかのISO評価基準において、特定の技術で特定の集団の進歩が著しかった場合に評価基準がフィードバックした例もあります。推察の域を出ませんが、ISO/IEC15408の評価基準にもこのように技術的に進歩している分野を取り込む可能性がゼロではありません。

こうなった場合、CCRA（CC承認アレンジメント）を結んでいる日本と全加盟国は、自動的に基準を受け入れることになります。すると、技術的に進歩が著しい国（実質米国が多いでしょう）がISO/IEC15408において指導的な立場となり、日本はその基準に追従するだけになる（日本の産業が衰退する）かもしれません。

EAL（評価保証レベル）の設定においても日本は遅れています。欧州では必要な要件ごとにEALを設定しており、その要件に定められたレベルに達していないと調達の対象になりません。ところが、日本は要件ごとのレベル設定以前に、ISO/IEC15408の取得自体が「推奨」止まりです。

ISO/IEC15408認証取得で変わること

政府に比べると、ビジネスや利益に敏感な上場企業の場合、特に経営者層やマネジメント層では、国際基準への関心が高い方が一定数います。例えば、先ほど紹介したSePがEAL3を取得した際には、大手のユーザー企業から強い反響がありました。認証活動を行っている情報処理推進機構（IPA）でも、「ISO/IEC15408の啓発記事をWebメディアに掲載したところ、さまざまな質問や感想をもらった」そうです。

国際基準の認証を取得したシステムを調達すべきだと理解している企業でも、実際に導入まで踏み切っているところは少ないようです。政府調達においても「推奨レベル」以上の動きがないため、一般企業でも踏ん切りがつかないのが実情でしょう。政府も含めて導入側全体が積極的にならなければ、開発ベンダー側も認証を取得しなくなってしまいます。

しかし、提供ベンダー側にとって「ISO/IEC15408」の取得は、セキュリティに関する品質を高めたりセキュリティへの理解を深めるための重要なプロセスとなります。ただ単に導入基準を満たすことだけが目的ではないのです。

実際に「ISO/IEC15408認証」に至るまでの過程では、国際基準にのっとった客観的な目線で認定作業が行われ、システムの脆弱（ぜいじゃく）性が判明します。指摘された脆弱性を検討することで「客観的」なセキュリティについて理解も深まるでしょう。

次ページでは、内部統制と情報セキュリティのこれからについて解説します。