オリジナル予想問題10 問10

ISO/IEC 15408の評価対象になるものはどれか。

[出典]情報セキュリティ 平成18年春期 問53

  • 暗号アルゴリズムの品質
  • 認証業務の運用受託サービスの管理手順
  • パケットフィルタリング機能をもつファイアウォール用ソフトウェア
  • 表示装置からの電磁波放射による情報漏えいの防止方法
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:セキュリティ技術評価
ISO/IEC 15408は、情報技術の製品及びシステムのセキュリティ特性を評価するための国際規格です(JIS版は JIS X 5070)。評価対象はソフトウェアだけでなく、ハードウェア、ファームウェア、あるいは、システム全体も含まれます。また、製品の形態としては、ファイアウォールのように、直接セキュリティに関係する機能を提供する製品に限らず、オペレーティングシステム、データベース、あるいはグループウェアなど、保護すべき資源を保有する製品はすべて評価対象となります。

日本では ISO/IEC 15408に基づいて第三者機関が評価する「ITセキュリティ評価及び認証制度(JISEC)」がIPAにより運営されています。また、製品やシステムのセキュリティ特性は評価保証レベル(EAL: Evaluation Assurance Level)により7段階(EAL1~EAL7)に分類されています。

したがってセキュリティ製品である「ファイアウォール用ソフトウェア」がISO/IEC 15408の評価対象として適切です。

Pagetop