予想問題vol.6 問45
問45
システム及び製品に関する情報技術セキュリティ評価基準の国際規格はどれか。
- ISO/IEC 13335
- ISO/IEC 14516
- ISO/IEC 15408
- ISO/IEC 17799
- [出典]
- ソフトウェア開発技術者 H17秋期 問79
分類
テクノロジ系 » セキュリティ » セキュリティ技術評価
正解
ウ
解説
ISO/IEC 15408は、情報技術の製品及びシステムのセキュリティ特性を評価するための国際規格です(JIS版は JIS X 5070)。評価対象はソフトウェアだけでなく、ハードウェア、ファームウェア、あるいは、システム全体も含まれます。また、製品の形態としては、ファイアウォールのように、直接セキュリティに関係する機能を提供する製品に限らず、オペレーティングシステム、データベース、あるいはグループウェアなど、保護すべき資源を保有する製品はすべて評価対象となります。
日本では ISO/IEC 15408に基づいて第三者機関が評価する「ITセキュリティ評価及び認証制度(JISEC)」がIPAにより運営されています。また、製品やシステムのセキュリティ特性は評価保証レベル(EAL: Evaluation Assurance Level)により7段階(EAL1~EAL7)に分類されています。
日本では ISO/IEC 15408に基づいて第三者機関が評価する「ITセキュリティ評価及び認証制度(JISEC)」がIPAにより運営されています。また、製品やシステムのセキュリティ特性は評価保証レベル(EAL: Evaluation Assurance Level)により7段階(EAL1~EAL7)に分類されています。
- ISO/IEC 13335は、情報通信技術セキュリティマネジメントの概念及びモデルに関する国際規格です。
- ISO/IEC 14516は、電子認証、電子公証、タイムスタンプ、暗号機能の鍵管理など、信頼できる第三者によるサービスに対しての利用と管理を規定した国際規格です。
- 正しい。
- ISO/IEC 17799は、情報セキュリティマネジメントにおける管理策のための国際規格です。