JISECはIT製品やシステムのセキュリティ機能を第三者が評価・認証する制度です。ISO/IEC 15408との関係やSG試験のひっかけポイントを整理します。

sg sg-security-overview crypto_auth sg-technology it_security_operations

まず結論

JISECは、IT製品やITシステムのセキュリティ機能について、ISO/IEC 15408に基づいて評価・認証する日本の制度です。

SG試験では、JISECを細かく暗記するよりも、次の関係を押さえることが大切です。

ISO/IEC 15408:評価の基準 JISEC:その基準に基づいて評価・認証する制度

つまり、ISO/IEC 15408が「ものさし」だとすると、JISECはそのものさしを使って、IT製品やシステムを評価・認証する仕組みです。

選択肢では、規格そのものと評価・認証制度を混同させてくることがあります。

直感的な説明

JISECは、簡単にいうと、セキュリティ製品の第三者チェック制度です。

たとえば、会社でファイアウォールや認証製品を導入するとします。

メーカーの説明には、次のように書かれているかもしれません。

高度なアクセス制御ができる

強固な認証機能を備えている

重要情報を安全に守れる

ただ、利用者側から見ると、説明だけでは本当に安全なのか判断しにくいです。

そこで、第三者が一定の基準に基づいて評価し、製品のセキュリティ機能が適切に実装されているかを確認する仕組みが必要になります。

このような場面で関係するのがJISECです。

SG試験では、JISECを「製品やシステムのセキュリティ機能を、第三者評価・認証する制度」として理解しておくと判断しやすくなります。

定義・仕組み

JISECは、ITセキュリティ評価及び認証制度のことです。

日本では、IPAが中心となって、IT製品やシステムのセキュリティ評価・認証に関する情報を公開しています。

JISECで使われる評価基準は、国際規格である ISO/IEC 15408 です。

また、ISO/IEC 15408は、Common Criteria(CC) と呼ばれることもあります。

仕組みを大まかに整理すると、次のようになります。

観点 内容

評価基準 ISO/IEC 15408 / Common Criteria 対象 セキュリティ機能をもつIT製品・システム 評価する内容 セキュリティ機能が設計どおりに実装されているか 認証の意味 一定の基準に基づく評価を受けたことを示す 活用場面 製品調達、比較、導入判断など

ここで重要なのは、JISECが組織全体のセキュリティ運用を認証する制度ではないという点です。

JISECの中心は、あくまでIT製品やITシステムのセキュリティ機能の評価・認証です。

たとえば、次のようなものは対象としてイメージしやすいです。

ファイアウォール製品

認証機能をもつ製品

アクセス制御機能をもつシステム

セキュリティ機能を備えたハードウェア

セキュリティ機能を備えたソフトウェア

一方で、社員教育、社内ルール、委託先管理の手順そのものを評価する制度として覚えると、試験で迷いやすくなります。

どんな場面で使う?

JISECは、主にセキュリティ製品やシステムを調達・導入するときの判断材料として使われます。

たとえば、重要な情報資産を守るシステムを導入する場合、担当者は次のようなことを確認したくなります。

製品のセキュリティ機能は明確か

第三者による評価を受けているか

調達条件に合う製品か

守りたい情報資産や想定する脅威に合っているか

JISECによる認証は、このような判断を助ける材料になります。

特に、官公庁や企業の調達では、セキュリティ機能をもつ製品を選ぶときに、客観的な評価結果が重視されることがあります。

ただし、JISECの認証を受けた製品だからといって、導入すれば無条件に安全になるわけではありません。

製品を安全に使うには、次のような運用も必要です。

適切な初期設定

アクセス権限の管理

ログ監視

脆弱性情報の確認

パッチ適用

利用者教育

SG試験では、JISECを製品選定時の判断材料として捉えつつ、運用管理とは別に考えることが大切です。

選択肢では、「認証済みだから運用管理は不要」のような表現が出たら注意です。

よくある誤解・混同

誤解1:JISECとISO/IEC 15408を同じものとして覚える

JISECとISO/IEC 15408は関係が深いですが、同じ意味ではありません。

用語 役割

ISO/IEC 15408 IT製品・システムのセキュリティ評価基準 JISEC ISO/IEC 15408に基づく日本の評価・認証制度

試験では、基準なのか、制度なのかを切り分けることが大切です。

「評価基準」と書かれていればISO/IEC 15408、「評価及び認証制度」と書かれていればJISECを考えます。

誤解2:JISECは組織の情報セキュリティ管理を認証する制度だと思う

JISECは、組織全体の情報セキュリティ管理を認証する制度ではありません。

組織の情報セキュリティ管理体制に関係するものとしては、ISMSのような考え方があります。

一方、JISECは、IT製品やシステムのセキュリティ機能に注目します。

SG試験では、次のように切り分けると分かりやすいです。

観点 関係する考え方

組織の管理体制を見る ISMSなど IT製品のセキュリティ機能を見る JISEC、ISO/IEC 15408

選択肢で「組織のルール」「継続的改善」「マネジメントシステム」といった表現が中心なら、JISECではなくISMS寄りの話かもしれません。

誤解3:JISEC認証があれば絶対に安全だと思う

JISEC認証は、一定の基準に基づいて評価されたことを示すものです。

しかし、認証を受けた製品でも、設定を誤ったり、運用を放置したりすれば、セキュリティ事故につながる可能性があります。

つまり、JISECは安全性を判断する材料の一つであり、運用管理を不要にするものではありません。

SG試験では、次のような表現に注意します。

認証済み製品ならリスクは完全になくなる

認証済み製品なら監視は不要である

認証済み製品なら設定変更は不要である

このような表現は強すぎるため、誤りとして切りやすいです。

誤解4:サービス運用や委託先管理の制度だと思う

JISECは、委託先の管理手順やサービス運用の品質を認証する制度ではありません。

委託先管理では、契約、SLA、監査、教育、再委託管理などが重要になります。

一方でJISECは、製品やシステムに実装されたセキュリティ機能を評価する制度です。

選択肢で「運用受託サービス」「管理手順」「業務プロセス」と書かれていたら、JISECの中心から外れていないか確認しましょう。

SG試験でのひっかけポイント

SG試験では、JISECについて次のような形で問われることがあります。

ISO/IEC 15408に基づく評価・認証制度はどれか。 IT製品のセキュリティ機能を第三者が評価・認証する制度はどれか。

このときは、次の判断基準で選択肢を切ります。

評価対象はIT製品・システムか

セキュリティ機能の評価・認証か

ISO/IEC 15408と関係しているか

組織管理やサービス運用の話にすり替わっていないか

「製品評価」「第三者評価」「ISO/IEC 15408」「認証制度」という言葉がそろっていれば、JISECを思い出すとよいです。

まとめ(試験直前用)

JISECは、IT製品やITシステムのセキュリティ機能を評価・認証する日本の制度です。

評価基準には、ISO/IEC 15408(Common Criteria) が使われます。

ISO/IEC 15408は「評価基準」、JISECは「評価・認証制度」と切り分けます。

JISEC認証は製品選定の判断材料になりますが、運用管理を不要にするものではありません。

選択肢では、「IT製品のセキュリティ機能を第三者が評価・認証する話か?」を確認しましょう。

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る