ISO/IEC 15408とは、情報技術セキュリティ評価の国際標準のことです。情報技術セキュリティの観点から、情報技術に関連した製品およびシステムが適切に設計され、その設計が正しく実装されているかどうかを評価するためのセキュリティ基準です。1999年12月にISO/IEC規格として発行されました。
規格は
パート1:概説と一般モデル
パート2:セキュリティ機能要件
パート3:セキュリティ保証要件
から構成されます。
日本では、政府が利用するIT関連製品(ハードウェア/ソフトウェア/システム)のセキュリティ機能・品質をチェックするために「情報セキュリティ評価認証体制」が2001年4月にスタートしました。経済産業省より委託を受けた独立行政法人製品評価技術基盤機構(NITE)が、評価機関の認定と、認定評価機関による評価結果の認証を行っていましたが、2004年4月からは評価結果の認証業務については、独立行政法人情報処理推進機構(IPA)行うことになっています。 |