- 政策について
- 政策一覧
- 安全・安心
- サイバーセキュリティ政策
- ITセキュリティ評価及び認証
ITセキュリティ評価及び認証
ITセキュリティ評価及び認証とは
経済産業省では、2001年より、「ISO/IEC 15408(JIS X 5070:情報技術セキュリティの評価基準)」に基づく「情報セキュリティ評価認証体制」を運用しています。
情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための標準規格として、CC(Common Criteria) が開発されました。 このCCは、1999年にISO/IEC15408として国際標準規格となり、2000年にはJIS標準 (JIS X 5070)となりました。
CCによって情報技術製品のセキュリティの度合いを、仕様書やガイダンス、開発プロセスなど様々な視点から系統的に評価できるようになります。消費者(調達者)は、導入を検討している製品を共通の基準で比較することができ、必要なセキュリティレベルに応じて必要な機能を具備し、運用や管理まで考慮した製品やシステムを、適正なコストで導入することが可能となります。
また、開発者はCCを考慮したセキュリティ対策やセキュリティ機能の設計をすることにより、考慮もれのない安全な製品やシステムを開発することが可能となります。
政府機関の情報システムにおいても、 昨今の多様化・高度化・複雑化する情報セキュリティ上のリスクに対応するため、「サイバーセキュリティ2013」(平成25年6月27日情報セキュリティ政策会議決定)において、安全性・信頼性の高いIT製品等の利用推進及び、政府調達における情報セキュリティの確保が求められております。また、「政府機関の情報セキュリティ対策のための統一管理基準」 において、適切な情報セキュリティ対策の確保のため、「機器等を調達する場合には、「IT製品の調達におけるセキュリティ要件リスト」を参照し、利用環境における脅威を分析した上で、当該機器等に存在する情報セキュリティ上の脅威に対抗するためのセキュリティ要件を策定すること。」が求められております。このため、経済産業省では、「IT製品の調達におけるセキュリティ要件リスト(PDF形式)(平成30年2月28日)を策定いたしました。本リストが積極的に活用されることにより、情報セキュリティに配慮したITシステムの調達を実効的かつ効果的に行うことが可能になります。
くわしくはこちらをご参照ください。
「ITセキュリティ評価及び認証」の運用開始について
IT革命推進のためのコア・プロジェクトである電子政府のセキュアな基盤構築に資するため、政府が利用するIT関連製品(ハードウェア/ソフトウェア/システム)のセキュリティ機能・品質をチェックする「ITセキュリティ評価及び認証制度」を2001年4月から運用開始します(2000年9月13日通商産業省(現経済産業省)発表)。 本制度は、「ISO/IEC 15408(JIS X 5070:情報技術セキュリティの評価基準)」に基づくものです。本制度に関するお問い合わせは、それぞれ下記の問い合わせ先までお願いいたします。
お問合せ先
本制度に関する政策面についてのお問い合わせ
経済産業省 商務情報政策局 サイバーセキュリティ課
電話:03-3501-1511(内線)3964
本制度の詳細、認証(Certification)についてのお問い合わせ
独立行政法人 情報処理推進機構 情報セキュリティ認証室
電話 03-5978-7538 FAX 03-5978-7538
e-mail:jisec@ipa.go.jp
URL:https://www.ipa.go.jp/security/jisec/
評価機関の認定(Accreditation)についてのお問い合わせ
独立行政法人 製品評価技術基盤機構 認定センター
電話 03-3481-1946 FAX 03-3481-1937