ISO/IEC 15408取得によるメリット：情報セキュリティアドミニストレータ試験対策

TOP ＞午後対策＞ ISO/IEC 15408取得によるメリット

ISO/IEC 15408取得によるメリット

問　題《情報セキュリティアドミニストレータ午後対策》

情報処理振興事業協会IPA　セキュリティ評価・認証

http://www.ipa.go.jp/security/ccj/index-j.html
・パンフレット
http://www.ipa.go.jp/security/ccj/cc_tutorial/pamphlet0304.pdf
を読んで下記問いに答えよ。

　(1)ISO/IEC 15408取得によるメリット（効果）を挙げよ。

　(2)下記【　ａ　】、【　ｂ　】に適切な語句を入れよ。

　　ISO/IEC 15408は、情報技術セキュリティに関連した製品やシス
　　テムの開発者だけでなく、【　ａ　】、【　ｂ　】などに、ぜひ知ってお
　　いて頂きたい規格であると言えます。

　(3)感想・調べたこと

情報セキュリティアドミニストレータ午後対策の解説を何度も読みましょう。

解　説《情報セキュリティアドミニストレータ午後対策》

(1)ISO/IEC 15408取得によるメリット（効果）を挙げよ。

>必要なセキュリティレベルに応じた適正なコストで、
>運用・管理までを考慮された安全な製品・システムの導入が可能となる。(58文字)

>・ユーザ企業は、認証製品を安心して利用
>・開発企業は、安全性の高い製品やシステムを提供していることを利用者にアピール

(2)下記【　ａ　】、【　ｂ　】に適切な語句を入れよ。

> 【　a　】製品を導入、使用するユーザー
> 【　b　】製品・システムの評価者(システム運用担当になるのでしょうか)

　ISO/IEC 15408は開発者だけでなく導入、使用するユーザやシステム
　運用担当者も理解しておいたほうが良いということですね。
　情報セキュリティアドミニストレータ試験では、
　午前問題で知識を問う問題が出題される可能性があります。

(3)感想・調べたこと

>ISO/IEC 15408は国際標準なので国内外に問わず、対外的に信頼(信用)度を
>あげる事が出来る。要は商売がしやすいという事ですね。

　国際標準の認証を受けるということは、対外的にアピールできるという点
　でも強みになります。
　認証を受けた製品、システムを導入、使用するユーザにとっては安心して
　利用できるということでメリットを受けることができます。

>欧米諸国では、すでに情報セキュリティ評価・認証制度を確立し、
>運用しているとのことですが、ファイアウォール、IDSなどの
>製品メーカーの大半は欧米諸国のものなのは、このあたりが
>起因しているのでしょうか。

　そもそもITセキュリティ評価基準は、軍事目的で使用される製品、システムを
　対象に、セキュリティレベルを評価することを目的として策定されたという
　経緯がありますから、欧米が先陣をきっています。

　───────────────────────→
　┌──────┬───────┬───────┐
　│TCSEC(*1　　│　　　　　　　│　　　　　　　│
　└┬─────┤　　　CC(*4　 │ ISO/IEC15408 │
　　│CTCPEC(*2 │　　　　　　　│　　　　　　　│
　　└┬────┤CommonCriteria│ (JIS X 5070) │
　　　│ITSEC(*3│　　　　　　　│　　　　　　　│
　　　└────┴───────┴───────┘
　　　　　　図　ITセキュリティ評価基準の変遷

　◇TCSEC(*1　とは。。。

　Trusted Computer System Evaluation Criteria。
　1985年に米国国防総省によって制定されたセキュリティ評価基準のひとつです。
　国家安全保障上、機密保護が必要な情報を取り扱う情報システムのセキュリティとして、
　これらの製品の購入時における、セキュリティ機能の観点からの判断基準でオレンジブック
　とも呼ばれます。

　◇CTCPEC(*2　とは。。。

　Canadian Trusted Computer Product Evaluation Criteria。
　カナダ独自のセキュリティ評価基準のことです。米国TCSEC（オレンジブック）を参考にして
　欧州のITSECの考え方も取り入れて作成されました。

　◇ITSEC(*3　とは。。。

　Information Technology Security Evaluation Criteria。
　イギリス、ドイツ、フランス、オランダの４カ国で、
　それぞれ独自にまとめられていたセキュリティの評価基準を、
　欧州の市場統合を控えてEC委員会が評価基準の統一したものです。

　◇CommonCriteria(*4　とは。。。

　Common Criteria for Information Technology Security Evaluation。
　ISO国際標準のベースとして、アメリカ,カナダ,イギリス,ドイツ,フランス,オランダの各政府が
　中心にまとめたセキュリティの国際基準の集大成であり、様々な国の商用ベースでの利用を
　目的としています。1996年にVersion 1、1998年にVersion 2.0が発行されました。
　Version 2.0は語句の修正などわずかな改変を受けた後にISO/IEC15408として
　国際標準化されました。
　また、1999年にVersion 2.1が発行されています。

　◇ISO/IEC 15408　とは。。。

　「ISO/IEC 15408 情報技術セキュリティ評価基準」は、情報技術セキュリティの観点から、
　情報技術に関連した製品およびシステムが適切に設計され、
　その設計が正しく実装されているかどうかを評価するためのセキュリティ基準です。
　1999年6月にISO/IEC規格として承認されました。
　また、2000年7月にはJIS X 5070として制定されました。

> (1)の回答に文字数を書きましたが、実際に試験の解答をする際は、
>あまり文字数を意識しないでも、要点が掴めればそれなりの文章を
>それなりの文字数で書けるものですね。
>（文字数制限にトラウマがあるもので・・・）
>
>習うより慣れろの世界ですね。

　文字数制限でまとめるのは試験の特徴ですので、このあたりは慣れの問題になってきます。
　実際の業務では、当然ですが、字数制限して説明することなんてありませんからね。
　要は、ポイントが正しく伝えられるかどうかということでしょう。
　試験対策という意味では常に紙と鉛筆を用意して問題を解き、どのくらいでまとめれば良いか
　感覚を養こと大切になりますね。

ISO/IEC 15408取得によるメリット：情報セキュリティアドミニストレータ試験対策