ISO/IEC15408(CC)制度とは何?
一口でいうと、情報セキュリティを確保するために、セキュリティ機能を持つ製品やシステムの導入が求められている現在において、
セキュリティの適切性、正確性、客観性、専門性、比較可能性をもって、評価し認証する制度だと思います。
(1)開発者や調達者が特定したリスクに対抗するためのセキュリティ機能を洗い出し、必要十分性を評価することで適切性を保証し、
(2)要件分析/定義から基本設計、詳細設計、プログラム設計、プログラム実装、各種テスト、設置・運用までのライフサイクル全体として、
正確性を保証し、
(3)規格化されたセキュリティ評価の対象・範囲・内容を国際標準化し公表することにより比較可能性を担保する。
(4)また、セキュリティのプロや規格(CC)のプロによって評価・確認することにより専門性を、
(5)評価の結果に対して認証書や認証報告書が発行(Web上での公開)することにより客観的な保証する制度となります。
また通常の評価認証に加え、安価で簡単な「プロトタイプ型機能特定保証」を日本独自の制度として準備していることが、
日本の特徴と言えます。
この制度は現状、どのように利用されているのでしょうか。
政府への納入条件であったり輸出の要件であったり、認証が必修の商品が多く、まだまだメジャーとは言いにくい状況かと思います。
では、これからどうしたらいいのでしょうか?
思うに、他社との差別化、従業員の教育へ活用してはどうでしょうか。
まずは「プロトタイプ型機能特定保証」を活用すべきでしょう。
以上
参考ページ