セキュリティ製品の選び方、困っていませんか?
皆さん、こんにちは。情シスセキュリティ担当の城咲子です。
情報セキュリティ対策を進める上で、ファイアウォール、VPN、侵入検知システム(IDS)など、様々なセキュリティ製品の導入を検討されるかと思います。市場には数えきれないほどの製品があり、「どれを選べばいいの?」と迷ってしまうことも少なくありません。
製品の宣伝文句だけでは、そのセキュリティ機能が本当に信頼できるものなのか判断するのは難しいですよね。そこで、客観的な評価基準として非常に重要な役割を果たすのが、国際規格であるISO/IEC 15408です。
今回は、このISO/IEC 15408がどのようなものなのか、そしてなぜセキュリティ製品を選定する上で重要なのかを、具体的な製品やソリューションを交えながらわかりやすく解説します。
ISO/IEC 15408とは?
ISO/IEC 15408は、情報セキュリティ製品やシステムが、定められたセキュリティ要件を満たしているかを評価するための国際的なフレームワークです。通称「コモンクライテリア(Common Criteria: CC)」とも呼ばれています。
この規格の目的は、様々な国の認証機関が、共通の基準と手法を用いて製品のセキュリティ評価を行えるようにすることです。これにより、製品のセキュリティレベルを客観的かつ公正に比較できるようになります。
ISO/IEC 15408の評価プロセスは、主に以下の3つの要素で構成されています。
- TOE (Target of Evaluation):評価対象となる製品やシステム。
- ST (Security Target):TOEのセキュリティ機能と、それが満たすべき要件を定義した文書。
- PP (Protection Profile):特定の種類の製品(例:ファイアウォール、OSなど)に共通するセキュリティ要件を定義した文書。
具体例で見るISO/IEC 15408の活用
ISO/IEC 15408は、日本でもIPA(情報処理推進機構)の「コモンクライテリア評価認証制度」として運用されており、多くの製品がこの認証を取得しています。
例1:ファイアウォール製品
企業ネットワークの入り口を守るファイアウォールは、ISO/IEC 15408の評価対象となる代表的な製品です。
- PP(Protection Profile):ファイアウォールに求められる一般的なセキュリティ要件(パケットフィルタリング機能、ログ機能、管理者認証など)を定義した文書が存在します。
- ST(Security Target):例えば、Check PointやPalo Alto Networksといった会社の特定のファイアウォール製品が、このPPを満たし、さらに独自の高度な機能(特定のプロトコルの制御など)を提供することを定義した文書を作成します。
- 評価: 独立した評価機関がSTに基づいて製品を詳細にテストし、評価を行います。
この評価に合格することで、「この製品は、国際的な基準に照らして、確かに定義されたセキュリティ要件を満たしている」というお墨付きが得られるわけです。
例2:OSやデータベース
ファイアウォールだけでなく、Microsoft WindowsやOracle DatabaseといったOSやデータベース製品も、特定のバージョンでISO/IEC 15408の認証を取得していることがあります。これは、これらの基盤となるソフトウェアが、ユーザー認証やアクセス制御などのセキュリティ機能を確実に実装していることの証明となります。
例3:ICカードや生体認証ソリューション
最近では、ICカードや指紋認証ソリューションのような物理的なセキュリティ製品もISO/IEC 15408の評価対象になっています。例えば、政府機関が利用する高セキュリティなICカードは、ISO/IEC 15408の認証を受けていることが調達の必須要件となる場合もあります。これは、ICカード内のデータが確実に保護されていることを保証するためです。
まとめ:製品選定の際のチェックポイント
今回のブログでは、情報セキュリティ製品を評価するための国際規格ISO/IEC 15408について解説しました。
- ISO/IEC 15408は、製品のセキュリティ機能を客観的に評価する国際的なフレームワークです。
- この認証を取得している製品は、第三者による厳しいテストを通過した、信頼性の高い製品であると判断できます。
情シスセキュリティ担当の皆さんには、製品を選定する際に、ISO/IEC 15408やその他の認証(FIPS 140-2など)を取得しているかどうかを一つの重要な判断材料として活用することをお勧めします。これにより、宣伝文句だけではない、確かなセキュリティを持つ製品を選ぶことができるはずです。
