layout: page title: ISO/IEC 15408とは?IT製品のセキュリティ評価基準を整理【情報セキュリティマネジメント】 description: ISO/IEC 15408はIT製品やシステムのセキュリティ機能を評価する国際規格です。SG試験で迷いやすい評価対象と運用管理との違いを整理します。 permalink: /sg/iso-iec-15408/ tags: [sg, sg-security-overview, crypto_auth, sg-technology, it_security_operations]
まず結論
ISO/IEC 15408は、IT製品やITシステムのセキュリティ機能を評価するための国際規格です。
SG試験では、細かい規格番号を暗記するよりも、「何を評価する規格なのか」を判断できることが大切です。
特に、選択肢では次のような形で迷わせてくることがあります。
暗号アルゴリズムそのものの品質
サービス運用の管理手順
ファイアウォールなどのセキュリティ製品
電磁波漏えいなどの物理的対策
この中でISO/IEC 15408の評価対象として考えやすいのは、セキュリティ機能をもつIT製品やシステムです。
たとえば、パケットフィルタリング機能をもつファイアウォール用ソフトウェアは、ISO/IEC 15408の評価対象になり得ます。
直感的な説明
ISO/IEC 15408は、簡単にいうと、セキュリティ製品の「安全性の説明書と検査基準」のようなものです。
たとえば、会社でファイアウォールを導入するとき、製品の説明だけを見ても、次のような不安が残ります。
本当に通信を適切に制御できるのか
セキュリティ機能は設計どおりに動くのか
第三者の評価を受けているのか
調達先として信頼できる製品なのか
そこで、製品のセキュリティ機能について、一定の基準に基づいて評価する考え方が必要になります。
ISO/IEC 15408は、「この製品は、どのようなセキュリティ機能をもち、それがどの程度きちんと評価されているか」を確認するための枠組みです。
SG試験では、製品そのものを技術的に深く解析するというより、製品評価の規格なのか、運用管理の規格なのかを切り分ける視点が問われます。
定義・仕組み
ISO/IEC 15408は、情報技術に関する製品やシステムのセキュリティ機能を評価するための国際規格です。
日本では、対応するJISとして JIS X 5070 があります。
評価対象は、ソフトウェアだけに限られません。
ソフトウェア
ハードウェア
ファームウェア
それらを組み合わせたシステム
などが対象になり得ます。
ここで大事なのは、ISO/IEC 15408が見るのは、組織の運用ルールそのものではなく、製品やシステムに備わるセキュリティ機能だという点です。
たとえば、次のようなものは評価対象としてイメージしやすいです。
例 評価対象として考えやすい理由
ファイアウォール 通信を制御するセキュリティ機能をもつ ICカード 認証や暗号処理などの機能をもつ セキュリティ機能付きOS アクセス制御などの機能をもつ データベース製品 権限管理や監査ログなどの機能をもつ
一方で、単なる運用手順や組織の管理ルールは、ISO/IEC 15408の中心的な評価対象とは考えません。
また、日本ではISO/IEC 15408に基づく評価・認証の制度として、ITセキュリティ評価及び認証制度(JISEC)があります。
JISECでは、IT製品やシステムについて、セキュリティ機能の適切性や確実性を第三者が評価し、その結果を認証する枠組みが整備されています。
さらに、評価の深さや保証の程度を示す考え方として、評価保証レベル(EAL:Evaluation Assurance Level)があります。
EALは、ざっくりいうと、どの程度の厳しさで評価されたかを示す目安です。
ただし、SG試験ではEALの細かい段階を暗記するより、まずは次のように押さえると十分です。
ISO/IEC 15408は、IT製品やシステムのセキュリティ機能を評価するための規格である。
どんな場面で使う?
ISO/IEC 15408は、主にセキュリティ製品やシステムを調達・導入するときに関係します。
たとえば、組織がセキュリティ製品を選ぶ場面では、価格や機能一覧だけで判断すると危険です。
セキュリティ機能が明確に定義されているか
第三者の評価を受けているか
調達条件として十分な保証があるか
重要な情報資産を守る目的に合っているか
このような判断材料として、ISO/IEC 15408に基づく評価や認証が使われることがあります。
SG試験では、特に調達・委託・情報資産保護の文脈で考えると理解しやすくなります。
たとえば、重要な情報を扱うシステムにファイアウォールや認証製品を導入する場合、単に「有名な製品だから安全」と考えるのではなく、客観的な評価を受けているかを確認する視点が大切です。
一方で、ISO/IEC 15408を使う場面と誤解しやすいものもあります。
場面 ISO/IEC 15408として考えるか
ファイアウォール製品のセキュリティ機能を評価する 考えやすい 認証サービスの運用手順を管理する 中心ではない 社員教育の実施状況を確認する 中心ではない 電磁波漏えい対策の方法を定める 中心ではない
選択肢では、「製品・システムのセキュリティ機能」か「組織の運用・管理・物理対策」かを切り分けると判断しやすくなります。
よくある誤解・混同
誤解1:暗号アルゴリズムそのものを評価する規格だと思う
ISO/IEC 15408は、暗号アルゴリズム単体の品質を評価するための規格ではありません。
暗号機能をもつ製品は評価対象になり得ますが、試験では「暗号アルゴリズムそのもの」なのか「暗号機能をもつIT製品」なのかを分けて考える必要があります。
選択肢で「暗号アルゴリズムの品質」と書かれていたら、ISO/IEC 15408の評価対象としては少しずれています。
誤解2:サービス運用の管理手順を評価する規格だと思う
認証業務の運用受託サービスの管理手順などは、サービス運用や委託先管理の話です。
もちろん、SG試験では委託先管理も重要ですが、ISO/IEC 15408の中心はIT製品やシステムのセキュリティ機能の評価です。
そのため、選択肢で「運用手順」「管理手順」「業務プロセス」と書かれていたら、ISO/IEC 15408とは別の管理・監査の話ではないかと疑うとよいです。
誤解3:物理的な漏えい対策の規格だと思う
表示装置からの電磁波放射による情報漏えいの防止方法は、物理的・環境的なセキュリティ対策の話です。
ISO/IEC 15408は、こうした物理的対策そのものを定める規格として覚えるものではありません。
選択肢では、「製品評価」ではなく「対策方法」になっていないかを見ると切り分けやすくなります。
誤解4:ソフトウェアだけが対象だと思う
ISO/IEC 15408の評価対象は、ソフトウェアだけではありません。
ハードウェア、ファームウェア、システム全体も対象になり得ます。
ただし、SG試験の選択肢では、ファイアウォール用ソフトウェアのように分かりやすいセキュリティ製品が出されることがあります。
この場合は、セキュリティ機能をもつIT製品だから評価対象になると考えます。
SG試験でのひっかけポイント
SG試験では、ISO/IEC 15408について、次のように問われることが多いです。
ISO/IEC 15408の評価対象になるものはどれか。
このときは、次の判断基準で選択肢を切ります。
IT製品・システムの話か
セキュリティ機能の評価の話か
運用手順や管理手順の話にすり替わっていないか
物理的対策や暗号単体の品質評価にずれていないか
今回のように、選択肢に「パケットフィルタリング機能をもつファイアウォール用ソフトウェア」があれば、ISO/IEC 15408の評価対象として最も適切です。
まとめ(試験直前用)
ISO/IEC 15408は、IT製品やITシステムのセキュリティ機能を評価する国際規格です。
日本の対応JISは JIS X 5070 です。
SG試験では、製品・システムの評価なのか、運用手順・物理対策・暗号単体の話なのかを切り分けます。
ファイアウォールのように、セキュリティ機能をもつIT製品は評価対象として考えやすいです。
選択肢では、「セキュリティ機能をもつIT製品か?」を最初に確認しましょう。