セキュリティ認証

 

ソフトウェアやシステムについて品質をある基準によって検査し、その優秀性を評価することです。

 

企業のIT資産及び情報管理の重要性の増加とともに、ハッカーの攻撃はますます多様化しています。よって、企業の情報を保護するためのセキュリティソリューションが多様に開始されています。このようなソフトウェアやシステムに対して、ある基準で「セキュリティ」で品質を検査して優秀性を評価することが「セキュリティ認証」ということです。

 

セキュリティ認証の種類は「TCSEC、ITSEC、CC」総3つに分けることができます。

 

1.TCSEC(Trusted Computer System Evaluation Criteria)

米国防総省文書の一つであり、セキュリティソリューション開発時の基準になる最も基本的な認証です。下記のように、セキュリティレベルを段階別に7つに分類します。

 

(TCSECの等級別の特性)

 

2.ITSEC(Information Technology Security Evaluation Criteria)

TCSECが機密性だけを強調したこととは異なり、ITSECは完全性と可用性を包括する標準案を提示します。TCSECとの互換のためのF-C1、F-C2、F-B1、F-B2、F-B3(TCSECのC1、C2などと同一)とドイツのZSIECのセキュリティ機能を利用したF-IN(完全性)、F-AV(可用性)、FDI(伝送データ完全性)、F-DC(データ機密性)、F-DX(伝送データ機密性)など計10つにセキュリティレベルを評価します。

 

 

3.CC(Common Criteria)

TCSECとITSECは最近CCという基準で統合されています。CCは認証のために次のような評価段階を経ます。

 

(CCの認証過程)

 

(出典: Naver知識百科「セキュリティ認証」http://terms.naver.com/entry.nhn?docId=3432108&cid=58437&categoryId=58437

写真出典:http://o2zon.tistory.com/395)