経済産業省
文字サイズ変更

セキュリティ評価・認証

セキュリティ評価・認証とは

経済産業省では、2001年より、 「ISO/IEC 15408(JIS X 5070:情報技術セキュリティの評価基準)」に基づく「情報セキュリティ評価認証体制」を 運用しています。

情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、 その設計が正しく実装されていることを評価するための標準規格として、 CC(Common Criteria) が開発されました。 このCCは、1999年にISO/IEC 15408として国際標準規格となり、 2000年にはJIS標準 (JIS X 5070)となりました。

CCによって情報技術製品のセキュリティの度合いを、 仕様書やガイダンス、開発プロセスなど様々な視点から系統的に評価できるようになります。 消費者(調達者)は、導入を検討している製品を共通の基準で比較することができ、 必要なセキュリティレベルに応じて必要な機能を具備し、 運用や管理まで考慮した製品やシステムを、適正なコストで導入することが可能となります。

また、開発者はCCを考慮したセキュリティ対策やセキュリティ機能の設計をすることにより、 考慮もれのない安全な製品やシステムを開発することが可能となります。

政府機関の情報システムにおいても、 昨今の多様化・高度化・複雑化する情報セキュリティ上のリスクに対応するため、 「政府機関の情報セキュリティ対策のための統一管理基準」(平成23年4月21日情報セキュリティ政策会議決定) において、適切な情報セキュリティ対策の確保のため、「IT セキュリティ評価及び認証制度」に基づく認証取得製品 の調達が求められております。経済産業省としては、政府機関における認証取得製品の調達を容易にするため、認証を 取得するべきIT製品分野について明確化した、 「IT セキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」 を策定・公開し、制度の活用を促進しております。

「情報セキュリティ評価認証体制」とは、 IT関連製品のセキュリティ機能の適切性・確実性を、 セキュリティ評価基準の国際標準であるISO/IEC15408に基づいて第三者(評価機関)が評価し、 その評価結果を認証機関が認証する、わが国の制度です。 現在IPAが本制度の認証機関として運営しています。

くわしくはこちら

Topics

「情報セキュリティ評価・認証体制」の運用開始について

2001年4月2日
経済産業省
情報セキュリティ政策室

IT革命推進のためのコア・プロジェクトである電子政府のセキュアな基盤構築に資するため、 政府が利用するIT関連製品(ハードウェア/ソフトウェア/システム)の セキュリティ機能・品質をチェックする「情報セキュリティ評価認証体制」を 2001年4月から運用開始します(2000年9月13日通商産業省(現 経済産業省)発表)。 本制度は、「ISO/IEC 15408(JIS X 5070:情報技術セキュリティの評価基準)」に基づくものです。 本制度に関するお問い合わせは、それぞれ下記の問い合わせ先まで。

なお、各省庁向けに当省が作成した「ISO/IEC15408を活用した調達のガイドブックlink to PDF file」も必要に応じご参照ください。

問い合わせ先

  • 本制度に関する政策面についてのお問い合わせ
  • 本制度の詳細、認証(Certification)についてのお問い合わせ
  • 評価機関の認定(Accreditation)についてのお問い合わせ
Check PC! インターネット安全教室
ページ上部へ戻る
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.