予想問題vol.10 問10

問10

ISO/IEC 15408の評価対象になるものはどれか。
  • 暗号アルゴリズムの品質
  • 認証業務の運用受託サービスの管理手順
  • パケットフィルタリング機能をもつファイアウォール用ソフトウェア
  • 表示装置からの電磁波放射による情報漏えいの防止方法
  • [出典]
  • 情報セキュリティ H18春期 問53

分類

テクノロジ系 » セキュリティ » セキュリティ技術評価

正解

解説

ISO/IEC 15408は、情報技術の製品及びシステムのセキュリティ特性を評価するための国際規格です(JIS版は JIS X 5070)。評価対象はソフトウェアだけでなく、ハードウェア、ファームウェア、あるいは、システム全体も含まれます。また、製品の形態としては、ファイアウォールのように、直接セキュリティに関係する機能を提供する製品に限らず、オペレーティングシステム、データベース、あるいはグループウェアなど、保護すべき資源を保有する製品はすべて評価対象となります。

日本では ISO/IEC 15408に基づいて第三者機関が評価する「ITセキュリティ評価及び認証制度(JISEC)」がIPAにより運営されています。また、製品やシステムのセキュリティ特性は評価保証レベル(EAL: Evaluation Assurance Level)により7段階(EAL1〜EAL7)に分類されています。

したがってセキュリティ製品である「ファイアウォール用ソフトウェア」がISO/IEC 15408の評価対象として適切です。
© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop