ITmedia エンタープライズ

エンタープライズ：ニュース

2003/11/01 00:45:00 更新

経済産業省とNITEがCCRAに加盟、ISO/IEC15408が海外でも通用

経済産業省とNITEは10月31日、CCRAに加盟したことを明らにした。国内で取得したISO/IEC15408認証が海外でも通用することになり、国産ベンダーにとっては朗報と言える。

　経済産業省と独立行政法人製品評価技術基盤機構（NITE）は10月31日、CCRA（Common Criteria Recognition Arrangement：共通基準承認アレンジメント）に加盟したことを明らかにした。

　ハードウェアやソフトウェアを調達する際のセキュリティ評価基準の1つに、ISO/IEC15408（Common Criteria）がある。ある製品が一定レベルのセキュリティを達成しているかどうかを第三者機関が評価し、その結果に基づいて認証機関が認証書を発行する仕組みだ。結果は民生機器用のEAL（評価保証レベル）1〜3、政府機関向けのEAL4、最高機密レベルのEAL5〜7と7段階に分けられており、日本政府もこれを政府調達基準に採用している。

　国内では2001年より、電子情報技術産業協会（JEITA）などが評価機関、NITEが認証機関となり、この認証制度を運用してきた。今回、ISO/IEC15048を互いに承認しあうための国際的な枠組みであるCCRAに加盟したことによって、NITEから受けた認証結果が、CCRA加盟諸国との間でも承認される体制が整った。

　もともとISO/IEC15408のメリットは、一定の基準の下で製品のセキュリティ評価・認証がなされることによって、製品のセキュリティ強度に対する判断をベンダー任せにすることなく、ユーザー自身が妥当な選択を行えることにある。また開発ベンダー側にとっても、「お墨付き」を得ることによって、製品展開・提案の幅が広がるというメリットがある。

　CCRAへの加入によって、これらメリットが国際的な広がりを持つことになる。つまり、いったん国内でISO/IEC15408の評価・認証を受けた製品ならば、CCRA加盟国（日本以外には18カ国）では再評価を受けることなく展開できる。日本のハードウェア／ソフトウェアベンダーにとっては朗報と言えるだろう。

関連リンク
経済産業省 商務情報政策局 情報セキュリティ政策室
独立行政法人製品評価技術基盤機構

[ITmedia]