「ISO/IEC15408」国際社会を生き抜くために

2009年11月26日(木)
ハミングヘッズ 編集記者チーム

世界で通用するためには、国際標準のシステムが必須

経営のグローバル化が急激に進む中、上場企業にとって事業の国際展開は必至です。国際的に通用する企業になるためには、国際的な基準を満たした製品が必要です。そして現在、ITはあらゆる業務で不可欠です。つまり、ITを導入する際には、国際基準を念頭に置く必要があるということです。

しかし日本では、上場しているかどうかにかかわらず、いまだに主観的な独自の基準でシステムを導入しています。自社内だけで業務が完結するのであれば構いませんが、そうでない場合は、これでは通用しません。例えば、自社製品の情報セキュリティを客観的な基準なしで説明するのは、非常に困難か、あるいは、説明しても説得力に欠けるでしょう。

上場企業では投資家への説明責任も生じますから、国際基準のような客観的な基準が、より重要になります。

国際標準化機構(International Organization for Standardization)という機関があります。これは、ネジ1本から、医療/農業などさまざまな分野の「国際規格」(最も客観性の高い規格)を決める機関であり、ISOの名称で規格そのものも表します。

ISO規格の表記は「ISOXXXXX」と数字が続き、Xが規格番号を示します。IT関連製品のセキュリティに関する標準規格は「15408」です。

「ISO/IEC15408」という表記がありますが、ISOの後ろに付くIECは、国際電気標準会議(International Electrotechnical Commission、通称はIEC)を指します。IECは電気/電子技術分野の国際規格を作っており、ISOとカバー範囲が重なるので、ISOとIECによる合同委員会が設けられています。そのため、「ISO/IEC15408」と併記されています。

ISO/IEC15408とは具体的にどのようなものか?最終回の今回は、国際標準である「ISO」に焦点をあて、特に国際展開を視野に入れた上場企業向けに、国際規格の重要性を、今後の展開についての予想も含めて解説します。

ISO/IEC15408 CCは加盟国が相互に認証

ISO/IEC15408は、IT製品のセキュリティ機能についての認証の仕組みであり、国際評価基準です。セキュリティの観点から適切に設計/実装されているかどうかを、世界的な標準から第三者が客観的に評価します。このISO/IEC15408は、コモン・クライテリア(Common Criteria、通称CC)とも呼ばれています。

CCには、2009年11月現在、26カ国が加盟しています。加盟国は14カ国の「Certificate Authorizing Participants(認証国)」と12カ国の「Certificate Consuming Participants(受入国)」に分かれ、ある認証国においてISO/IEC15408(CC)に基づいて評価認証されたIT製品システムは、他の認証国/受入国でも認証の効力を持つことになり、これを「CC承認アレンジメント(CCRA)」と呼びます。日本は2003年10月に「認証国」としてCCRAに加盟しました。

ISO/IEC15408は、海外では広く普及していますが、日本では知名度が低く、普及しているとは言えません。国内ベンダーの製品でこの規格認証を取得しているのは、海外向けの製品が大半です。海外向けの場合は、ベンダー側にも国際基準が重要だという風土が見られます。また、そもそも政府調達品のようにISO/IEC15408の取得が義務付けられているケースもあります。

ISO/IEC15408には、評価保証レベル(Evaluation Assurance Level、以下EAL)があり、1~7レベルまで設定されています。保証の程度/範囲を示し、レベルが高いほど保証/範囲が厳密になります。ハミングヘッズのソフト「セキュリティプラットフォーム」(以下、SeP)は、ソース・コードを開示しない範囲では最高レベルのEAL3を取得しています(2009年8月現在)。

ほかのISO規格に目を向けると、製品の品質に関するマネジメント体制を評価する「ISO9001」の場合は、日本国内でも認知度が高く、実益もあります。例えば「ISO9001を取得していないと公共事業を受注しにくい」といったデメリットがあります。この一方、「ISO/IEC15408」では、政府の調達基準においても「推奨レベル」にとどまっているのが現状です。

次ページからは、国内における国際基準の導入動向の実態や、国際基準の導入で得られるメリットなどを紹介します。

著者
ハミングヘッズ 編集記者チーム
ハミングヘッズ株式会社
2008年3月、ハミングヘッズホームページ上にコラムを執筆開始。以降、徐々に人数を増やしつつ、現在、総勢7人。全員が前職で様々な業界の記者や編集を経験している、個性あふれるエディター集団。CANONのEOS 5Dを手に、IT関連のイベント・シンポジウムに出没する。

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています