用語説明

ISO15408(情報技術セキュリティ評価基準)

1991年にISO/IEC JTC1のSG27-WG3で開始され,1999年6月にISO国際標準(ISO/IEC15408)として承認されたセキュリティ評価基準。IT製品やシステムのセキュリティ機能の実装や,開発プロセスなど,主に設計・開発フェーズを対象として特定のIT製品やシステムの評価・認証を行う。

ISO15408は,3部(パート1:概要と全体モデル,パート2:機能要件,パート3:保証要件)で構成されている。

「機能要件」は,「セキュリティ監査」「識別認証」など11種類の「機能クラス」から構成され,IT製品やシステムが備えるべきセキュリティ機能を規定している。

「保証要件」は,「構成管理」「テスト」など10種類の「保証クラス」から構成され,機能要件を確実に実装するための品質保証的な要件を規定している。さらに,保証の程度を示す目安として1~7の「保証レベル(EAL:Evaluation Assurance Level)」を定義し,このレベルに応じた評価方法で評価が行われる。